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内 容 简 介 

本 实验 教材 面向 计算 机 和 管理 交叉 类 专业 学 生 , 从 信息 安全 管理 的 角度 出 发 ,对 信息 系统 整体 安全 体 
系 进 行 分 析 和 实验 设计 。 书 中 针对 技术 基础 和 综合 安全 管理 两 个 方面 设计 了 详细 实用 的 学 习 和 练习 手 
册 ,体现 了 ”技术 与 管理 ”并重 的 信息 安全 观念 ,使 得 读者 可 以 获得 较为 全 面 的 专业 技能 ,也 便于 教师 根据 
课程 进行 选用 。 全 书 共 包括 5 章 、27 个 实验 ,涵盖 了 操作 系统 平台 安全 、 网 络 安全 .计算 机 病毒 防治 、 应 用 
系统 安全 ,信息 系统 综合 安全 管理 等 领域 。 对 于 每 个 实验 书 中 都 给 出 了 详尽 的 操作 步骤 说 明和 图 示 ,容易 
理解 和 掌握 。 另 外 ,还 对 各 实验 进行 分 析 总 结 ,便于 使 用 者 对 实验 举一反三 ,深入 思考 。 

本 书 适合 信息 管理 与 信息 系统 、 电 子 商务 及 计算 机 等 专业 学 生 及 企业 信息 系统 安全 管理 人 员 使 用 。 
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出 版 说 明 
高 等 学 校 教材 . 信息 管理 与 信息 系统 


改革 开放 以 来 ,特别 是 党 的 十 五 大 以 来 ,我 国教 育 事业 取得 了 举世 瞩目 的 辉煌 成 就 ,高 等 
教育 实现 了 历史 性 的 跨越 ,已 由 精英 教育 阶段 进入 国际 公认 的 大 众 化 教育 阶段 。 在 质 
量 不 断 提高 的 基础 上 ,高 等 教育 规模 取得 如 此 快速 的 发 展 ,创造 了 世界 教育 发 展 史 上 的 
奇迹 。 当 前 ,教育 工作 既 面临 着 千载难逢 的 良好 机 遇 , 同 时 也 面临 着 前 所 未 有 的 严峻 挑 
战 。 社 会 不 断 增 长 的 高 等 教育 需求 同 教育 供给 特别 是 优质 教育 供给 不 足 的 矛盾 ,是 现 
阶段 教育 发 展 面临 的 基本 了 矛盾 。 

教育 部 一 直 十 分 重视 高 等 教育 质量 工作 。2001 年 8 月 ,教育 部 下 发 了 《关于 加 强 
高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 意见 》, 提 出 了 十 二 条 加 强 本 科教 学 工作 
提高 教学 质量 的 措施 和 意见 。2003 年 6 月 和 2004 年 2 月 ,教育 部 分 别 下 发 了 (关于 启 
动 高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 建设 工作 的 通知 》 和 《教育 部 实施 精品 课 
程 建 设 提高 高 校 教学 质量 和 人 才 培 养 质 量 ) 文 件 ,指出 “高 等 学 校 教学 质量 和 教学 改革 
工程 "是 教育 部 正在 制定 的 (2003 一 2007 年 教育 振兴 行动 计划 ) 的 重要 组 成 部 分 ,精品 
课程 建设 是 “质量 工程 ”的 重要 内 容 之 一 。 教 育 部 计划 用 五 年 时 间 (2003 一 2007 年 ) 建 
设 1500 门 国家 级 精品 课程 ,利用 现代 化 的 教育 信息 技术 手段 将 精品 课程 的 相关 内 容 上 
网 并 免费 开放 ,以 实现 优质 教学 资源 共享 ,提高 高 等 学 校 教学 质量 和 人 才 培 养 质量 。 

为 了 深入 贯彻 落实 教育 部 (关于 加 强 高 等 学 校本 科教 学 工作 ,提高 教学 质量 的 若干 
意见 ?精神 ,紧密 配合 教育 部 已 经 启动 的 “高 等 学 校 教学 质量 与 教学 改革 工程 精品 课程 
建设 工作 ”, 在 有 关 专 家 教授 的 倡议 和 有 关 部 门 的 大 力 支持 下 ,我 们 组 织 并 成 立 了 * 清 
华 大 学 出 版 社 教材 编审 委员 会 "(以 下 简称 “ 编 委 会 ”) , 旨 在 配合 教育 部 制定 精品 课程 教 
材 的 出 版 规划 ,讨论 并 实施 精品 课程 教材 的 编写 与 出 版 工作 。“ 编 委 会 "成员 皆 来 自 全 
国 各 类 高 等 学 校 教学 与 科研 第 一 线 的 骨干 教师 ,其 中 许多 教师 为 各 校 相关 院 、 系 主管 教 
学 的 院 长 或 系 主任 。 

按照 教育 部 的 要 求 ,“ 编 委 会 ”一致 认为 ,精品 课程 的 建设 工作 从 开始 就 要 坚持 高 标 
准 、 严 要 求 ,处 于 一 个 比较 高 的 起 点 上 ; 精品 课程 教材 应 该 能 够 反映 各 高 校 教学 改革 与 
课程 建设 的 需要 ,要 有 特色 风格 有 创新 性 (新 体系 、 新 内 容 、 新 手段 .新 思路 ,教材 的 内 
容 体系 有 较 高 的 科学 创新 、 技 术 创 新 和 理念 创新 的 含量 ) .先进 性 (对 原 有 的 学 科 体系 有 
实质 性 的 改革 和 发 展 ,顺应 并 符合 新 世纪 教学 发 展 的 规律 ,代表 并 引领 课程 发 展 的 趋势 
和 方向 ) 、 示 范 性 (教材 所 体现 的 课程 体系 具有 较 广 泛 的 辐射 性 和 示范 性 ) 和 一 定 的 前 瞻 


性 。 教 材 由 个 人 申报 或 各 校 推 荐 (通过 所 在 高 校 的 “ 编 委 会 "成员 推 荐 ) ,经 * 编 委 会 ”认真 评 
审 ,最 后 由 清华 大 学 出 版 社 审定 出 版 。 

目前 ,针对 计算 机 类 和 电子 信息 类 相关 专业 成 立 了 两 个 “ 编 委 会 ”, 即 “清华 大 学 出 版 社 
计算 机 教材 编审 委员 会 "和 “清华 大 学 出 版 社 电子 信息 教材 编审 委员 会 "。 首 批 推出 的 特色 
精品 教材 包括 : 

CD 高 等 学 校 教材 .计算 机 应 用 一 一 高 等 学 校 各 类 专业 ,特别 是 非 计算 机 专业 的 计算 
机 应 用 类 教材 。 

(2) 高 等 学 校 教材 。 计算 机 科学 与 技术 一 一 高 等 学 校 计算 机 相关 专业 的 教材 。 

(3) 高 等 学 校 教材 ， 电子 信息 一 一 高 等 学 校 电子 信息 相关 专业 的 教材 。 

(4) 高 等 学 校 教材 ， 软件 工程 一 一 高 等 学 校 软件 工程 相关 专业 的 教材 。 

CO 高 等 学 校 教材 .信息 管理 与 信息 系统 。 

(6) 高 等 学 校 教材 。 财经 管理 与 计算 机 应 用 。 


清华 大 学 出 版 社 经 过 20 多 年 的 努力 ,在 教材 尤其 是 计算 机 和 电子 信息 类 专业 教材 出 版 
方面 树立 了 权威 品牌 ,为 我 国 的 高 等 教育 事业 做 出 了 重要 贡献 。 清 华 版 教材 形成 了 技术 准 
确 、 内 容 严谨 的 独特 风格 ,这 种 风格 将 延续 并 反映 在 特色 精品 教材 的 建设 中 。 


清华 大 学 出 版 社 教材 编审 委员 会 


E-mail: dingl@ tup. tsinghua. edu. cn 
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计算 机 安全 问题 是 伴随 着 计算 机 的 发 展 而 产生 的 。 随 着 互联 网 的 日 益 普 及 和 各 种 信息 技 
术 在 各 行业 得 到 越 来 越 广泛 的 应 用 ,整个 社会 对 信息 系统 的 依赖 程度 日 益 提高 ,安全 问 
题 也 变 得 越 来 越 复杂 和 重要 。 面 对 各 种 严重 的 计算 机 信息 系统 安全 威胁 ,关于 信息 安 
全 的 研究 开始 得 到 人 们 的 重视 。 目 前 ,信息 安全 已 经 成 为 信息 科学 领域 重要 的 研究 课 
题 , 众 多 高 等 院 校 也 相应 开设 了 信息 安全 专业 和 课程 。 

在 计算 机 信息 安全 的 教学 中 ,学 生 的 实践 活动 是 非常 重要 的 一 个 环节 ,通过 实际 动 
手 参 与 操作 实验 ,学 生 可 以 更 好 地 理解 相关 理论 知识 ,增加 感性 认识 ,提高 解决 实际 问 
题 的 能 力 。 如 何 根据 教学 目标 ,针对 学 生 的 知识 结构 ,设计 出 恰当 的 实验 项 目 也 是 信息 
安全 教学 中 需要 解决 的 问题 。 信 息 安全 作为 一 门 综合 性 学 科 VRBE LAORE sic REI ia] 
学 院 和 专业 开设 的 安全 课程 往往 有 不 同 的 侧重 点 ,对 于 信息 系统 和 信息 管理 专业 的 学 
生来 讲 , 在 课程 设计 上 管理 和 计算 机 技术 兼 重 ,相对 而 言 一 些 底层 的 技术 细节 略 有 弱 
化 ,但 是 对 于 全 局 的 把 握 和 管理 方面 则 要 求 较 高 。 

本 书 从 信息 安全 管理 的 角度 出 发 ,对 信息 系统 整体 安全 体系 进行 分 析 和 构建 ,突破 
该 领域 存在 的 “ 重 技术 , 轻 管理 ”的 传统 思想 ,有 助 于 获得 系统 全 面 和 真正 的 安全 。 书 中 
从 操作 系统 平台 安全 、 网 络 安 全 、 计 算 机 病毒 防治 、 应 用 系统 安全 ,信息 系统 综合 安全 管 
理 等 方面 设计 了 5 章 、27 个 实验 。 对 于 每 个 实验 ,在 对 信息 安全 工作 人 员 需 要 具备 的 
基本 知识 和 技能 进行 总 结 的 基础 上 ,给 出 了 实际 的 操作 方案 和 训练 途径 ,使 读者 易于 理 
解 和 掌握 实验 的 原理 和 实验 操作 方法 。 同 时 也 充分 考虑 了 实验 开设 的 便利 性 ,大 部 分 
实验 都 可 以 在 普通 的 计算 机 和 系统 平台 上 完成 ,实验 软件 也 主要 选用 一 些 易 获得 的 免 
费 版 本 。 本 教材 中 各 实验 相对 独立 ,可 以 用 于 独立 性 信息 安全 实验 课程 ,也 可 供 相关 课 
程 在 开设 课 内 实验 时 进行 部 分 选用 。 

本 书 中 内 容 已 被 多 次 应 用 在 东 华 大 学 管理 学 院 信息 系统 和 信息 管理 专业 的 计算 机 
信息 安全 实验 教学 中 ,并 且 取 得 了 较 好 的 效果 。 本 书 在 编写 过 程 中 ,得 到 了 东 华 大 学 管 
理学 院 姚 卫 新 、 曹 海 生 、 陈 梅 梅 等 老师 的 热情 帮助 ,也 得 到 了 东 华 大 学 管理 学 院 经 济 贸 
易 实验 室 各 位 老师 的 大 力 帮 助 ,在 此 表示 衷心 的 感谢 。 
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计算 机 信息 安全 课程 在 各 大 高 校 的 开设 时 间 相 对 较 短 , 对 于 课程 的 教学 方法 和 教学 内 
容 ,特别 是 实践 环节 的 开设 方法 还 在 不 断 探索 之 中 。 由 于 本 人 能 力 和 水 平 所 限 , 加 上 时 间 仓 
促 , 书 中 难免 有 错误 和 玻 漏 的 地 方 , 敬 请 读者 批评 指正 。 
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1.1 实验 基础 


1.1.1 操作 系统 安全 基础 


操作 系统 作为 硬件 和 软件 应 用 之 间接 口 的 程序 模块 .计算 机 资源 的 管理 者 ,是 保证 计算 机 
系统 安全 的 重要 基础 。 操 作 系 统 的 安全 功能 主要 包括 用 户 认 证 存储器 保护 ,文件 与 LO WE 
备 的 访问 控制 ,对 一 般 目 标的 定位 与 访问 以 及 控制 共享 的 实现 、 内 部 过 程 的 通信 与 同步 等 。 

操作 系统 的 安全 漏洞 是 威胁 系统 安全 的 主要 原因 ,常见 的 操作 系统 漏洞 有 以 下 几 种 。 

(D L/O 非法 访问 : 操作 系统 (Operating System,OS) 仅 在 L/O 操作 初始 阶段 进行 访问 
检查 ,使 用 公共 的 系统 缓冲 区 。 

(2) 访问 控制 的 混乱 : 安全 访问 与 资源 共享 间 关 系 处 理 不 善 .操作 界限 不 清 。 

(3) 不 完全 的 中 介 : 完全 的 中 介 必 须 检查 每 次 访问 请 求 以 进行 适当 的 审批 ,不 完全 的 
中 介 则 省 略 必要 安全 保护 造成 保护 机 制 不 全 面 。 

(4) 操作 系统 陷 门 : 指 为 后 续 使 用 和 发 展 而 预 留 的 管理 程序 功能 ,通常 对 这 些 功 能 缺 
乏 严 密 监控 ,有 可 能 被 用 于 安全 控制 。 

操作 系统 安全 的 核心 在 于 访问 控制 , 即 确保 主体 对 客体 的 访问 只 能 是 授权 的 , 且 授 权 策 
略 是 安全 的 ,未 经 授权 的 访问 是 不 能 进行 的 。 进 行 访 问 控制 的 粒度 可 以 是 位 级 、. 字 节 级 F 
级 .字段 级 文件 级 .目录 级 、 卷 级 等 。 受 控 目 标 级 别 越 大 .实现 访问 控制 越 容易 ,控制 的 灵活 
度 则 随 之 降低 。 


1.1.2 Windows 操作 系统 安全 技术 


Windows 操作 系统 在 PC 上 的 垄断 地 位 ,使 其 成 为 应 用 最 为 普遍 的 操作 系统 。 
Windows NT 4.0 是 系列 版 本 中 最 早 实现 C2 安全 级 别 的 操作 系统 ,其 后 在 对 Windows NT 
进一步 完善 的 基础 上 Microsoft 公司 又 推出 了 Windows 2000 等 操作 系统 。 

Windows 2000 提供 的 安全 机 制 包括 以 下 几 方 面 。 

COD 登录 安全 : 使 用 三 键 登录 界面 ,可 以 防止 后 台 恶 意 程 序 运行 ,并 通过 输入 ID 和 口 
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令 实现 登录 ,由 安全 帐号 管理 器 接收 ID 和 口令 ,安全 帐号 数据 库 验证 ID 和 口令 访问 令 牌 
(包括 用 户 安全 标记 、 用 户 名 、 用 户 所 属 组 等 信息 )。 

(2) 设置 登录 安全 : 管理 员 可 以 使 用 域 用 户 管理 器 为 用 户 建立 和 修改 用 户 属性 、 安 全 
属性 ,并 设置 工作 站 登录 限制 .时 间 登 录 限 制 . 帐 号 失效 日 期 用户 登录 失败 次 数 等 。 

O 文件 与 目录 存 取 控 制 : 有 系统 审计 、 人 允许 访问 、 禁 止 访问 等 几 种 方式 。 禁 止 总 是 比 
允许 的 优先 级 高 ,没有 设 定 存 取 控制 的 列表 的 对 象 采用 系统 默认 值 , 并 自动 继承 其 所 处 目录 
的 存 取 控制 属性 。 

(4) 用 户 权限 : 包括 从 网 络 上 访问 某 台 计算 机 、 使 用 特定 资源 、 进 行 特定 操作 的 权限 等 。 

(5) 所 有 权 : 文件 或 目录 有 自己 的 拥有 者 ,通常 是 其 创建 者 。 用 户 不 能 放弃 自己 对 某 
对 象 的 所 有 权 ,使 拥有 者 对 自己 创建 的 对 象 负责 。 

(6) 访问 许可 权 : 提供 对 文件 或 目录 的 读 、 写 、 修 改 ,. 添 加 、 列 示 、 完 全 控制 等 访问 方式 。 

(7) 共享 许可 权 : 对 网 络 共享 资源 的 访问 控制 。 

(8) 审计 : 对 可 能 危及 系统 安全 的 系统 级 属性 进行 逻辑 评估 ,跟踪 并 报道 企图 对 系统 
进行 破坏 的 行为 (与 监视 器 和 和 人 侵 检测 器 结合 ) 。 

D 备份 : 制作 系统 紧急 启动 盘 , 备 份 系统 及 应 用 的 配置 数据 ,备份 用 户 数据 ,系统 工 
具 , 用 户 备份 ,第 三 方 备份 工具 (磁盘 备份 工具 等 ) 。 

Windows 默认 安装 通常 需要 进行 安全 化 .安全 化 操作 系统 的 过 程 称 为 加 固 ,目的 是 减 
少 漏洞 的 数量 并 保护 计算 机 不 受 威胁 或 攻击 。 加 固 过 程 的 大 致 步骤 为 : 应 用 最 新 的 补丁 程 
序 , 禁 用 不 必要 的 服务 ,删除 不 必要 的 用 户 帐 户 并 重 命名 Admin 帐户 ,确保 使 用 复杂 的 密 
码 ,对 文件 和 访问 注册 表 限 制 许可 ,启用 关键 事件 的 日 志 , 删 除 不 必要 的 程序 。 


1.2 实验 项 目 


1.2.1 帐户 安全 


1. 实验 目的 


T fif Windows 2000/XP 系统 提供 的 帐户 安全 机 制 , 掌 握 相关 的 安全 设置 方法 ,以 提高 
操作 系统 安全 强度 。 


2. 实验 原理 


帐户 和 口令 是 登录 系统 的 基础 ,也 是 众多 黑客 程序 攻击 和 窃取 的 对 象 ,因此 ,系统 的 帐 
户 和 口令 的 安全 是 非常 重要 的 。 而 Windows 系统 的 默认 设置 存在 一 定 的 不 安全 性 ,这 些 不 
安全 性 常常 被 攻击 者 利用 ,通过 各 种 手段 获得 合法 的 帐户 ,进一步 破解 口令 入 侵 系统 。 通 过 
对 系统 的 合理 设置 可 以 避免 这 种 安全 风险 。 


3. 实验 环境 

一 台 安 装 Windows 2000/XP 操作 系统 的 计算 机 :磁盘 格式 设置 为 NTFS。 
4 实验 内 容 

CD 检查 和 删除 不 再 使 用 的 帐户 ,禁用 Guest 帐户 ; 
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(2) 启用 帐户 策略 ; 

(3) 开机 时 设置 为 “不 自动 显示 上 次 登录 帐户 ”; 

(4) 禁止 枚 举 帐 户 名 (本 地 策略 \ 安 全 选项 ,选择 “对 匿名 连接 的 额外 限制 ”, 在 “本 地 策 
略 设置 "中 选择 “不 允许 枚 举 SAM 帐户 和 共享 ”) 。 


5. 实验 步骤 


(1) 以 管理 员 身 份 进入 Windows 2000 Server 系统 ,启动 “程序 "|* 管 理工 具 ”|* 计 算 机 
管理 "|* 系 统 工具 ”|* 本 地 用 户 和 组 ”, 禁 用 Guest 帐户 , 重 命名 Administrator 帐户 ,对 其 他 
用 户 和 组 进行 属性 设置 ,如 图 1. 1 所 示 。 


erw mv | e 二 | 国 | 加 | 国药 e 


名 这 | 
x BEDRE TAREFA 
TsInternetUser TsInternetuser TEPE RRRS Pi 
|weihg 管 下 计算 机 ( 域 ) 的 内 置 帐户 
wha weongan 


2 sensn 
二 o BANTAL 


图 1.1 对 计算 机 用 户 和 组 属性 进行 设置 


(2) 以 管理 员 身 份 进入 Windows 2000 Server 系统 ,启动 “程序 ”1“ 管 理工 具 ”|“ 本 地 安 
全 策略 ”| “帐户 策略 ”1“ 密 码 策 略 ”, 对 各 项 属性 分 别 进行 重新 设置 ,如 图 1. 2 和 图 1. 3 所 示 。 
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1.2 对 帐户 密码 策略 进行 设置 
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mss meSEUEU. cS CENE SE. 
[ws ] ww | 
图 1.3 对 帐户 密码 复杂 性 策略 进行 设置 


(3) 在 “帐户 锁定 策略 ”中 ,对 各 项 属性 分 别 进行 重新 设置 ,如 图 1.4 所 示 。 
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图 1.4 对 帐户 锁定 策略 进行 设置 


(4) 在 “本 地 策略 "|* 用 户 权利 指派 ”中 ,重新 设置 各 权限 的 所 属 用 户 , 如 图 
所 示 。 


增 安 全 设置 lalz 
| se av e» omx te 
本 地 设置 IET La 
Administrators,SER... Administr ators, SER... 
Administrators Administrators 
Users, Power Users... Users Power Users 
CHAMPION\IUSR_C,,.  CHAMPIOMIUSR C... 
Administrators Administr ators 
Administrators Administrators 
Power Users, Admin... Power Users, Admini... 
Power Users,Backy.,, — Power UsarsyEacku， 
Administrators aninisrators 
Badup Operators, Backup Operators,... 
Epee aE 
| 到 


I I 
图 1.5 对 用 户 权 限 进 行 设置 


.5 和 图 1.6 
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Administrators 


如果 域 组 策略 设置 已 定义 ,它们 会 车 代 本 地 策略 设置 。 
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图 1.6 对 用 户 权限 策略 进行 设置 


(5) 在 “本 地 策略 "|* 安 全 选项 ”中 ,重新 设置 各 安全 选项 ,如 图 1.7 所 示 。 
siox 
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图 1.7 对 帐户 密码 策略 进行 设置 


6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 安全 性 实验 要 求 , 详 细 观 察 记录 设置 前 后 系统 的 变化 ,给 出 分 析 
报告 。 


7. 实验 分 析 与 讨论 


Windows 系统 中 提供 了 多 种 可 控 的 安全 选项 ,对 于 各 选项 应 该 如 何 设置 最 为 合理 , 读 
者 可 以 作 进 一 步 思考 。 
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8. 注意 事项 


(D) Windows 2000 5j Windows XP 操作 系统 相关 设置 会 稍 有 不 同 ,但 大 同 小 异 , 以 上 
步骤 说 明 中 采用 的 是 Windows 2000 Server 系统 。 
(2) 读者 可 以 自行 查看 “安全 选项 "中 的 多 项 增强 系统 安全 的 条 目 。 


1.2.2 日 志 与 审核 


1. 实验 目的 

配置 计算 机 系统 以 记录 安全 事件 ,查看 并 分 析 系 统 事件 。 

2. 实验 原理 

日 志 是 所 发 生 事件 的 清单 ,每 一 个 日 志 条 目 都 有 事件 的 日 期 和 时 间 、 事 件 的 类 别 , 以 及 
在 哪里 可 以 找到 有 关 该 事件 的 更 多 信息 。 计 算 机 安全 事故 是 在 系统 上 发 生 的 任何 非法 或 未 
经 授权 的 活动 。 不 管 计算 机 是 否 发 生 了 事故 ,日 志 条 目 都 可 以 显露 信息 。 维 护 日 志 很 重要 ， 


但 日 志 的 价值 来 自 于 对 它们 进行 的 定期 检查 。Windows 系统 中 默认 地 没有 进行 安全 审核 ， 
因此 需要 重新 配置 想 要 记录 的 事件 。 


3. 实验 环境 
一 台 安装 Windows 2000/XP 操作 系统 的 计算 机 ,磁盘 格式 设置 为 NTFS。 
4. 实验 内 容 


CD 在 服务 器 上 配置 日 志 审 核 功能 ,设置 安全 性 日 志和 系统 日 志 的 保存 时 间 为 14 天。 
(2) 设 定 审 核 策略 如 表 1.1 所 示 。 


表 1.1 日 志 审核 策略 表 


属性 成 功 失败 
帐号 登录 On On 
帐号 管理 On On 
目录 访问 服务 Off On 
登录 On On 
对 象 访问 Off On 
策略 改变 On On 
特权 使 用 Off On 
进程 跟踪 Off Off 
系统 On On 


(3) 执行 一 定 的 任务 并 对 日 志 条 目 进行 分 析 。 
5. 实验 步骤 


(1) 在 “管理 工具 ”|* 事 件 查看 器 "中 ,通过 右 击 打开 * 属 性 ?对 话 框 进 行 设 置 , 如 图 1. 8 
和 图 1.9 所 示 。 
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图 1.8 设置 “事件 查看 器 "属性 
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图 1.9 对 “安全 日 志 属 性 ”进行 设置 


(2) 启动 “程序 ”1“ 管 理工 具 ”"|“ 本 地 安全 策略 ”1“ 本 地 策略 "| “审核 策略 ”, 对 各 审核 项 
目 开 启 情况 分 别 进行 重新 设置 ,如 图 1. 10 和 图 1. 11 所 示 。 


1.10 对 日 志 审 核 项 目 进行 设置 (1) 
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图 1.11 对 日 志 审核 项 目 进行 设置 (2) 


(3) 尝试 登录 一 个 不 存在 的 帐户 。 

(4) 使 用 一 个 错误 的 密码 。 

(5) 以 正式 用 户 的 身份 登录 进去 。 

(6) 检查 系统 安全 日 志 , 如 图 1. 12 所 示 。 
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图 1. 12 检查 系统 安全 日 志 


6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 安全 性 实验 要 求 , 详 细 观 察 记 录 设 署 前 后 系统 的 变化 ,给 出 分 析 
报告 。 


7. 实验 分 析 与 讨论 


安全 日 志 可 以 记录 系统 发 生 的 安全 事件 ,但 同时 条 目 过 多 会 给 管理 人 员 带 来 过 多 的 工 
作 负 担 ,因此 如 何 取舍 需要 审核 的 项 目 是 一 个 值得 考虑 和 分 析 的 问题 。 


8. 注意 事项 


系统 日 志 包括 应 用 程序 日 志 、 安 全 日 志和 系统 日 志 三 部 分 ,分 别 记录 不 同类 型 的 系统 事 
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件 。 进 行 系统 安全 管理 时 ,以 安全 日 志 内 容 为 主 ,可 以 同时 结合 另外 两 类 事件 进行 系统 分 析 。 


1.2.3 文件 资源 安全 


1. 实验 目的 
了 解 Windows 系统 提供 的 文件 资源 安全 管理 功能 ,掌握 其 配置 方法 。 
2. 实验 原理 


磁盘 数据 被 攻击 或 本 地 的 其 他 用 户 破坏 和 窃取 磁盘 数据 是 经 常 困 扰 用 户 的 问题 。 
Windows 系统 提供 的 磁盘 格式 有 FAT、FAT32 以 及 NTFS。 其 中 FAT fl FAT32 格式 没 
有 考虑 对 安全 性 方面 的 更 高 需求 ,如 无 法 设置 用 户 访问 权限 等 。NTFS 文件 系统 是 
Windows 操作 系统 中 一 种 安全 的 文件 系统 ,管理 员 或 用 户 可 以 设置 每 个 文件 夹 的 访问 权 
限 , 从 而 限制 一 些 用 户 和 用 户 组 的 访问 。 

NTFS 文件 系统 还 提供 了 EFS 功能 。EFS 采用 了 对 称 和 非 对 称 两 种 加 密 算法 对 文件 
进行 加 密 , 首 先 系统 利用 生成 的 对 称 密 钥 将 文件 加 密 成 密 文 ,然后 采用 EFS 证 书 中 包含 的 
公 钥 将 对 称 密 钥 加 密 后 与 密 文 附加 在 一 起 。 文 件 采 用 EFS 加 密 后 ,可 以 控制 特定 的 用 户 有 
权 解 密 数据 ,这 样 即 使 攻击 者 能 够 访问 计算 机 的 数据 存储 器 ,也 无 法 获取 用 户 数据 。 只 有 拥 
有 EFS 证 书 的 用 户 ,采用 证 书 中 公 钥 对 应 的 私 钥 , 先 解密 公 钥 加 密 的 对 称 密 钥 , 然 后 再 用 对 
称 密 钥 解密 密 文 , 才 能 对 文件 进行 读 写 操作 。 

3. 实验 环境 

采用 NTFS 格式 的 磁盘 ,用 户 具有 在 NTFS 卷 中 修改 文件 的 权限 。 

4. 实验 内 容 


CD 新 建文 件 夹 SecurityTest1, 常规 属性 设 为 只 读 ,共享 属性 设 为 所 有 用 户 只 能 读 取 
无 法 修改 ; 

(2) 新 建文 件 夹 Security Test2 ,设置 访问 权限 为 : 

。 Administrator: 完全 控制 ; 

* Creator owner: 修改 . 读 、 写 ; 

* System: 完全 控制 ; 

* Users: 读 取 、 执行 、 浏 览 目录 ; 

(3) 对 文件 夹 SecurityTestl 进行 EFS 加 密 , 并 进行 验证 。 


5. 实验 步骤 

CD 选中 文件 夹 ,通过 右 击 打开 属性 页 进行 设置 ,如 图 1. 13 一 图 1. 15 所 示 。 

(2) 选中 文件 夹 ,通过 右 击 打开 * 属 性 ?|* 安 全 ?选项 卡 进行 设置 ,如 图 1. 16 所 示 。 

(3) 选中 文件 夹 , 通 过 右 击 打开 “属性 ”1“ 常 规 ”|“ 高 级 属性 ”对 话 框 进行 设置 ,如 图 1. 17 
所 示 。 
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图 1. 13 对 文件 夹 基本 属性 进行 设置 


ecurityTestl 的 权限 


图 1.15 对 文件 夹 权 限 进行 设置 
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图 1.14 对 文件 夹 共 享 属性 进行 设置 
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图 1.16 对 文件 夹 安全 属性 进行 设置 


- 压 锯 或 加 密 属性 
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图 1.17 对 文件 夹 加 密 属性 进行 设置 
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(4) 注销 用 户 重新 登录 后 验证 对 SecurityTestl 文件 夹 的 读 取 权 限 。 
6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 安全 性 实验 要 求 , 详 细 观 察 记录 设置 前 后 系统 的 变化 ,给 出 分 析 
报告 。 

7. 实验 分 析 与 讨论 

当前 用 户 对 文件 夹 进行 EFS 加 密 处 理 后 ,其 他 用 户 将 无 法 打开 查看 。 当 需要 将 加 密 文 
件 夹 授权 给 其 他 用 户 时 ,可 以 由 加 密 文 件 夹 的 用 户 为 当前 的 加 密 文件 系统 EFS 设置 证 书 ， 
并 将 证 书 导出 ,由 被 授权 用 户 导入 自己 帐户 的 EFS 系统 。 实 验 者 可 自行 探索 操作 方法 。 


8. 注意 事项 
进行 各 设置 项 目 验 证 时 ,注意 用 户 的 切换 。 


1.2.4 服务 管理 


1. 实验 目的 
了 解 服务 管理 功能 并 掌握 其 设置 方法 。 
2. 实验 原理 


Windows 中 有 许多 用 不 着 的 服务 处 于 激活 状态 ,它们 中 可 能 存在 的 安全 漏洞 使 攻击 者 
甚至 无 需 帐 户 就 能 控制 机 器 。 为 了 系统 的 安全 ,应 关闭 系统 中 用 不 到 的 服务 ,使 系统 提供 的 
服务 最 小 化 。 各 服务 项 目 都 有 其 特定 的 功能 ,应 进行 相应 了 解 后 并 根据 用 户 的 使 用 需要 进 
行 设置 。 同 时 ,还 要 注意 服务 间 是 相互 关联 的 ,对 操作 对 象 应 了 解 其 依赖 及 被 依赖 的 其 他 服 
A ,避免 影响 计算 机 的 正常 使 用 。 


3. 实验 环境 
一 台 安 装 Windows 2000/XP 操作 系统 的 计算 机 。 
4 实验 内 容 


(1) 关闭 如 下 所 有 不 需要 的 服务 。 
Alerter(disable) 

ClipBook Server(disable) 
Computer Browser(disable) 
DHCP Client(disable) 

Directory Replicator(disable) 
FTP publishing Service(disable) 
License Logging Service( disable) 


Messenger( disable) 
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* Netlogon(disable) 

* Network DDE(disable) 

* Network DDE DSDM (disable) 

* Network Monitor(disable) 

* Remote Access Server( disable) 

* Remote Procedure Call RPC)locater( disable) 
* Schedule(Cdisable) 

。 Server( disable) 

* Simple Services(disable) 

* Spooler(disable) 

e TCP/IP Netbios Helper(disable) 

* Telephone Service(disable) 

(20 设置 如 下 服务 为 手动 启动 。 

* SNMP service(optional) 

* SNMP trapCoptional) 

(3) 设置 如 下 服务 为 自动 启动 。 

* Eventlog(required) 

e NTLM Security Provider(required) 
e RPC Service(Crequired) 

* WWW (required) 


* Workstation(leave service on: will be disabled later in the document) 
5. 实验 步骤 


CD 启动 “管理 工具 ”|* 服 务 ”, 选 中 相应 服务 项 目 右 击 打开 属性 对 话 框 进行 设置 ,如 
图 1. 18 和 图 1. 19 所 示 。 


Localsystem 
Localsystem 
Locelystem 
Localsystem 
LocsSystem 5 
Localsystem 
LocalSyszem 
LocelSyscem 
Localsystem 
LocalSystam 
LocalSystem 
Localsyszem 
Localsystem 
LocalSystem 
Localsystem 
LocalSystem 
LocalSystem 
Localsyscem 
LocalSystem 
LocelSystem 
LocelSyscem z 


|aFTP Publishing Service 
|f IIS Admin Service. 
Fe Indexina Service 


图 1. 18 对 系统 服务 项 目 进行 设置 
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图 1. 19 对 系统 服务 项 目 属性 进行 设置 


(2) 手动 启动 服务 ,在 命令 行 窗口 输入 net start [service] 启 动 服务 ,net stop[service] 
关闭 服务 ,如 图 1. 20 所 示 。 


EE\ Jc\WINNT\system32\cmd.exe 


Microsoft Windows 2808 [Uersion 5.80.2195] 
«C» 版 权 所 有 1985-2808 Microsoft Corp. 


c: NDocunents and Settings Widministrator?net start SNMP seruice, 


图 1. 20 手动 方式 设置 服务 属性 
6. 实验 报告 与 要 求 


根据 上 面 介 绍 的 各 项 安全 性 实验 要 求 , 详 细 观 察 记 录 设 置 前 后 系统 的 变化 ,给 出 分 析 
报告 。 


7. 实验 分 析 与 讨论 


进行 服务 的 属性 设置 时 ,需要 考虑 系统 的 可 用 性 系统 的 运行 效率 和 安全 性 ,同时 还 要 
竹 虑 各 服务 项 间 的 相互 依赖 性 ,读者 可 进一步 思考 如 何 确定 合理 的 服务 设置 方案 。 
8. 注意 事项 


各 项 服务 的 功能 和 相互 关系 可 查阅 相关 帮助 文档 。 不 同 Windows 系统 中 的 服务 条 目 
KARE. 
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1.2.5 端口 安全 


1. 实验 目的 
了 解 端口 与 服务 的 对 应 关系 并 掌握 端口 的 设置 方法 。 
2. 实验 原理 


为 减少 可 能 的 系统 入 侵 途 径 ,提高 系统 安全 性 ,应 只 开放 服务 需要 的 端口 与 协议 ,而 关 
闭 其 他 用 不 到 的 端口 。 常 用 的 TCP 端口 有 80(Web 服务 )、21(FTP 服务 )、25(SMTP)、 
23(Telnet) ,110CPOP3) 4$; 常用 的 UDP 端口 有 53(DNS 域名 解析 服务 )、161(SNMP)、 
8000/4000(OICQ) 等 。 


3. 实验 环境 
一 台 安 装 Windows 2000/XP 操作 系统 的 计算 机 。 
4. 实验 内 容 


(1) 打开 TCP 协议 的 80 端口 (只 提供 HTTP 服务 ) ,并 对 控制 效果 进行 验证 ; 
(2) 打开 TCP 协议 的 21 端口 (只 提供 FTP 服务 ) ,并 对 控制 效果 进行 验证 。 


5. 实验 步骤 


A) HF WK” | “WHEE” | “JR PE” | “Internet 协议 CTCP/IP)”|* 属 性 |“ 高 级 ”|* 选 
I” | “TCP/IP 筛选 ”1“ 属 性 ”, 启 用 “TCP/IP 筛选 ”。 
(2) 依次 在 TCP 端口 中 添加 21 和 80 端口 ,如 图 1. 21 所 示 。 


[I EIES 
FW 启用 teir Wi maD O 


图 1.21 系统 端口 选项 设置 


6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 安全 性 实验 要 求 , 详 细 观 察 记录 设置 前 后 系统 的 变化 ,给 出 分 析 
报告 。 
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7. 实验 分 析 与 讨论 

进行 本 实验 时 ,实验 小 组 成 员 可 以 相互 配合 ,结合 本 地 HTTP 和 FTP 服务 的 提供 , 验 
证 端口 设置 的 有 效 性 。 

8. 注意 事项 


在 该 窗口 中 进行 设置 时 ,采用 的 是 最 小 特权 原则 ,所 添加 的 为 开放 端口 ,其 他 端口 全 部 
禁用 。 


1.2.6 IIS 服务 安全 设置 


1. 实验 目的 


通过 实验 了 解 Windows 操作 系统 中 IIS 服务 的 安全 漏洞 及 其 防范 措施 ,实现 Web 和 
FTP 服务 器 的 安全 配置 。 


2. 实验 原理 


IISCInternet Information Server) 是 Windows 系统 中 的 Internet 信息 和 应 用 程序 服务 
器 。 利 用 IIS 可 以 配置 Windows 平台 方便 地 提供 各 种 应 用 。IIS 4. 0 和 IIS 5.0 的 应 用 非常 
广泛 ,但 这 两 个 版 本 均 存 在 很 多 漏洞 ,它们 的 使 用 也 带 来 了 很 多 安全 隐患 。 因 此 ,了 解 如 何 
加 强 Web 服务 器 .FTP 服务 器 的 安全 性 ,防范 由 TIS 漏洞 造成 的 人 侵 非 常 重要 。 

为 保护 Windows 2000 Server 系统 的 安全 性 ,应 删除 默认 的 站 点 ,重新 建立 自己 的 站 
点 ,并 将 TIS 与 系统 安装 在 不 同 的 分 区 ,可 以 避免 TIS. 安全 漏洞 直接 威胁 到 系统 的 安全 。 

3. 实验 环境 

一 台 安 装 有 Windows 2000 Server 操作 系统 的 主机 。 

4. 实验 内 容 

CD 启用 IIS 服务 ; 

(2) 关闭 并 删除 默认 FTP 和 Web 站 点 ; 

G) 建立 自己 的 站 点 ,并 确保 对 应 目录 的 访问 控制 权限 为 Administrator( 完 全 控制 )， 
System( 完 全 控制 ); 

(4) 维护 站 点 的 安全 日 志 ; 


(5) 设置 拒绝 如 下 IP 地 址 的 FTP 访问 。 单机: 192. 168. 0. 60; 网 段 : 标识 一 一 
202. 120. 110. 1, 子 网 掩 码 一 一 255. 255. 255. 0。 


5. 实验 步骤 


CD 打开 “开始 1“ 设置 "1“ 控 制 面板 ”, 单 击 “ 添 加 /删除 程序 ”, 选 择 左 边 的 “添加 /删除 
Windows 组 件 ”, 然 后 按照 屏幕 提示 安装 TIS 组 件 ,如 图 1. 22 Bron. 
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图 1.22 安装 IIS 组 件 


(2) 在 “管理 工具 ”| "Internet 服务 管理 器 "中 选中 默认 FTP 站 点 和 默认 Web 站 点 «fi 
击 “ 删 除 ” 选 项 ,如 图 1. 23 所 示 。 


=|DIx| 
| wf sav || e mim|e 3| ||» mn. 
树 | 1P 
EmyFTp 正在 运行 202.120.1 
DE Web isi 正在 运行 + 全 部 未 
myweb 正在 运行 202.120.1 
de BRUA SMTP EINIR 正在 运行 E 
S PSU, NNTP 虚拟 服务 器 正在 运行 EE 
* 到 
I 


图 1.23 删除 默认 Web 站 点 和 FTP 站 点 


G) 新 建 自己 的 FTP 和 Web 站 点 ,并 将 目录 文件 夹 设置 在 其 他 磁盘 上 ,如 图 1. 24 和 
图 1. 25 所 示 。 
(4) 设置 Web 站 点 基本 属性 ,如 图 1. 26 和 图 1. 27 所 示 。 


图 1.26 设置 Web 站 点 基本 属性 
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(5) 创建 自己 新 的 FTP 站 点 ,在 “安全 帐号 "选项 卡 中 进行 设置 ,如 图 1. 28 所 示 。 


aixi 
d rris 安全 帐号 | 消息 | 主 有 录 | 目录 安全 性 | 
常规 属性 | 扩充 的 怀 性 | FF MESERO —————— 
-新 日 志 时 间 间隔 ERES ILA T RAM indes APIKE- 
个 等 人 时 
CAW 
个 等 月 D 
C SCARE QD 
C 当 文 件 大 小 达到 GD Hid e 
m E 只 在 此 rrr 站 点 相近 作 员 可 了 授予 Windews PER. 
厂 为 文件 向 名 辐 淮 合 用 本 地 时 间 ) DL DriomsmaT 添加 )...| 
日 志文 件 目录 W: aniniatraters 一 
[mimpirwvsysten32\LozPiles mue... | mJ 


AERE: WISVC2\exyyandd. log 


xm | me Eh we L1] KEW sh | 
图 1.27 设置 Web 站 点 日 志 属 性 图 1.28 设置 FTP 站 点 帐号 属性 


(6) 在 “目录 安全 性 ?选项 卡 中 进行 设置 ,如 图 1. 29 和 图 1. 30 BEAR o 


2j. xj 
FTF 站 点 | 安全 帐号 | 消息 “| 主 目录 目录 安全 性 | 
TCP/IP 访问 限制 
默认 情况 下 ， 所 有 计算 机 格 被 ， < c RUSET] 
例外 以 下 所 列队 外 : a i 
pu 


IZW 
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图 1.29 设置 FTP 站 点 访问 属性 (1) 图 1.30 设置 FTP 站 点 访问 属性 (2) 


6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 安全 性 实验 要 求 , 详 细 观 察 记录 设置 前 后 系统 的 变化 ,给 出 分 析 


7. 实验 分 析 与 讨论 


对 于 Web 和 FTP 站 点 ,还 有 其 他 设置 项 目 , 如 限制 FTP 服务 器 的 操作 员 , 对 主 目录 的 
访问 权限 控制 ,修改 相应 的 端口 地 址 等 。 读 者 可 以 在 站 点 属性 窗口 的 各 选项 卡 中 进行 配置 。 
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8. 注意 事项 


除了 主 目录 应 与 系统 文件 分 开 存放 外 ,日 志文 件 也 应 存放 在 和 主 目 录 不 同 的 路 径 下 ,并 
设置 访问 权限 ,以 保护 日 志文 件 的 安全 性 。 


1.2.7 系统 备份 与 恢复 


1. 实验 目的 


了 解 Windows 提供 的 备份 与 恢复 功能 ,掌握 对 系统 和 用 户 数据 进行 备份 和 恢复 的 
方法 。 


2. 实验 原理 


即使 熟练 地 配置 了 各 种 安全 产品 ,灾难 也 可 能 会 发 生 ,数据 备份 可 以 在 数据 被 销毁 或 者 
被 破坏 时 找 回 数据 ,因此 是 最 重要 的 安全 措施 之 一 。 

备份 应 该 定期 执行 。 备 份 方法 分 为 完整 备份 .差异 备份 和 增 量 备份 等 。 完 整备 份 会 复 
制 所 有 指定 的 文件 ,占用 的 时 间 最 长 ,但 可 以 最 快 地 恢复 。 差 异 备份 将 会 复制 上 次 完整 备份 
后 ,所 有 曾 被 改变 的 文件 ,如 果 要 复原 整个 系统 , 则 要 先 复原 完整 备份 ,再 复原 最 后 一 次 的 差 
异 备份 ,所 以 会 占用 较 长 的 时 间 , 因 为 将 有 两 个 媒体 要 恢复 。 增 量 备份 将 会 备份 最 后 一 次 备 
份 以 来 新 增 的 数据 (包括 完整 备份 或 增 量 备份 )。 备 份 数据 应 该 被 保存 在 远程 场所 ,以 使 它 
们 免 于 火灾 或 计算 机 附近 的 一 些 其 他 局 部 环境 问题 的 危害 。 


3. 实验 环境 
一 台 安 装 Windows 2000/XP 操作 系统 的 计算 机 。 
4. 实验 内 容 


A) 新 建文 件 夹 SecurityTest, 对 该 文件 夹 和 系统 状态 数据 进行 备份 并 进行 还 原 操作 
练习 ; 

(2) 制订 一 份 系统 备份 计划 并 进行 设置 ; 

(3) 为 自己 的 计算 机 制作 一 份 系统 紧急 修复 盘 ; 

(4) 利用 注册 表 工 具 对 注册 表 进 行 备 份 并 进行 导入 导出 练习 。 


5. 实验 步骤 


CD 启动 “程序 "| 附件 ?|* 系 统 工具 ”|* 备 份 ” 中 的 “备份 ”选项 卡 ,选中 需要 备份 项 目 ， 
依次 进行 备份 设置 ,完成 后 再 进行 还 原 操作 :如 图 1. 31 所 示 。 

(2) 在 备份 计划 中 按照 提示 进行 计划 制订 ,如 图 1. 32 所 示 。 

(3) 选中 “欢迎 ”选项 卡 ,启动 “紧急 修复 磁盘 ”. 如 图 1. 33 所 示 。 
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1.32 制订 备份 计划 


图 1.33 制作 系统 紧急 修复 磁盘 
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OD 选择 “程序 "|* 运 行 ” 命 令 , 在 “运行 ?对 话 框 中 输入 regedit, 打 开 注 册 表 ,在 “注册 表 ” 
菜单 中 进行 导 和 导出 练习 ,如 图 1. 34 所 示 。 
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图 1.34 管理 系统 注册 表 


6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 安全 性 实验 要 求 , 详 细 观 察 记录 设置 前 后 系统 的 变化 ,给 出 分 析 


7. 实验 分 析 与 讨论 


除了 使 用 系统 自 带 的 数据 备份 恢复 工具 外 ,还 可 以 使 用 其 他 一 些 工具 ,如 Ghost 软件 。 
Ghost 以 硬盘 的 扇 区 为 单位 进行 物理 信息 的 完整 复制 。 对 于 误 格式 化 、 误 删除 引起 的 数据 
丢失 ,只 要 没有 向 丢失 数据 所 在 的 分 区 上 写 入 新 的 数据 ,就 可 以 利用 FinalData 等 数据 恢复 
软件 实现 接近 100% 的 恢复 。 因 为 在 Windows 环境 下 删除 一 个 文件 ,只 有 目录 信息 从 FAT 
或 者 NTFS 删除 ,而 文件 数据 仍然 留 在 磁盘 上 。 但 是 ,如 果 开 始 使 用 的 是 专业 的 数据 删除 
软件 来 删除 数据 , 且 覆 盖 了 数据 ,就 无 法 进行 恢复 了 。 


8. 注意 事项 可 可 


(1) 备份 数据 将 被 存储 于 指定 路 径 中 的 一 个 E AERAR 
kbf 文件 中 ,数据 恢复 时 则 需要 选中 相应 的 kbf D ae DAARENTEEN W. 


fe 自动 备 1 


Xf. 

(2) 选中 备份 作业 窗口 中 的 “高 级 ”按钮 ,可 以 
选择 具体 的 备份 方式 ,如 图 1. 35 所 示 。 

(3) 对 注册 表 进 行 导 入 操作 时 ,需要 选中 相应 
的 reg 文件 ,选中 注册 表 某 分 支 .可 以 实现 注册 表 
的 部 分 导出 。 图 1.35 设置 备份 高 级 选项 


2.1 实验 基础 


2.1.1 网 络 通信 安全 基础 


Internet 安全 问题 存在 是 由 其 自身 的 特征 决定 的 : Internet 本 身 是 没有 边界 的 、 全 球 的 
因特网 ,不 属于 任何 一 个 组 织 或 国家 ; 通过 IP 地 址 来 识别 和 管理 存在 严重 的 安全 漏洞 
Internet 本 身 没 有 中 央 管理 机 制 ,没有 法 令 和 法 规 ,无 法 实现 集中 有 效 管理 ; Internet 从 技 
术 上 来 讲 是 开放 的 、 标 准 的 ,缺乏 一 些 安全 防范 机 制 ; Internet 没有 审计 和 记录 的 功能 。 

国内 的 网 络 安全 现状 尤为 不 容 乐观 。 我 国 许多 网 络 建 网 初期 很 少 或 根本 没有 考虑 安全 防 
范 措施 ,相当 大 比例 单位 的 计算 机 系统 或 多 或 少 存在 安全 漏洞 。 我 国 目 前 极 缺 网 络 及 电脑 高 
级 系统 管理 人 员 ,高 等 教育 中 也 较为 缺乏 这 方面 人 才 的 培养 ,社会 则 缺乏 造就 这 类 人 才 的 实践 
环境 。 另 外 ,中 国内 地 大 部 分 网 站 是 基于 国外 的 产品 ,它们 的 安全 系数 令 人 怀疑 。 


2.1.2 常见 网 络 攻击 与 防范 技术 


网 络 攻击 的 发 起 者 通常 被 称 为 黑客 。 据 统计 国际 上 几乎 每 20 秒 就 有 一 起 黑客 事件 发 
生 , 仅 美国 每 年 由 黑客 所 造成 的 经 济 损失 就 超过 100 亿 。 

常见 黑客 攻击 过 程 包括 如 下 几 个 步 又: 

(1) 目标 探测 和 信息 收集 : 确定 攻击 目标 并 收集 目标 系统 的 有 关 信 息 , 包 含 踩点 、 扫 
描 、 查 点 等 几 个 步骤 。 

CD 踩点: 尽 可 能 多 地 收集 关于 目标 系统 的 安全 状况 的 各 个 方面 的 信息 ; 

@ 扫描 : 使 用 各 种 工具 和 技巧 确定 哪些 系统 存活 着 ,它们 在 监听 哪些 端口 .操作 系统 
等 ,确定 人 攻 途 径 。 

C) 查 点 : 从 系统 中 抽取 有 效 帐 号 或 导出 资源 名 的 过 程 。 

(2) 获得 访问 权 : 通过 密码 窃听 共享 文件 的 野蛮 攻击 ,抽取 密码 文件 并 破解 或 缓冲 区 
溢出 等 攻击 来 获得 系统 访问 权限 ; 

(3) 特权 提升 : 一 般 帐 户 对 目标 系统 只 有 有 限 的 访问 权限 ,黑客 经 常会 通过 采用 密码 


x 


破解 .利用 已 知 漏洞 等 方法 来 获得 更 高 权限 ; 

OD 掩 踪 灭 迹 : 一 旦 目标 系统 已 全 部 控制 ,黑客 便 会 隐藏 自己 的 踪迹 ,防止 被 管理 员 
AU. 
(5) 创建 后 门 : 在 系统 的 不 同 部 分 布置 陷阱 和 后 门 ,以 便 入 侵 者 在 以 后 仍 能 获得 特权 
yi. 

常见 的 网 络 攻击 技术 有 IP 欺骗 与 防范 ,Sniffer 嗅 探 器 .端口 扫描 技术 、 特 洛 伊 木 马 、 拒 
绝 服务 式 攻击 等 。 


1. IP 欺骗 与 防范 


一 台 主 机 使 用 的 不 是 分 配给 自己 的 IP 地 址 的 现象 属于 TP JU hb JH. IP 地 址 盗用 是 
一 种 常见 问题 ,不 需 编程 即 可 进行 。 瓷 用 IP 应 该 是 只 能 盗用 本 网 段 的 IP, 因 为 最 简单 的 网 
段 也 要 有 一 个 路 由 器 作为 出 口 。 在 路 由 器 的 配置 中 ,要 制定 这 个 网 段 的 网 络 地 址 和 掩 码 。 
如 果 该 网 段 中 的 主机 使 用 了 其 他 网 段 的 IP, 则 路 由 器 不 认为 属于 它 的 网 段 , 不 给 转发 。 

防止 次 用 IP 可 以 绑 定 IP 和 物理 地 址 。 通 过 设置 路 由 器 上 的 静态 ARP( 地 址 转换 协 
议 , 将 硬件 地 址 与 IP 地 址 相关 联 的 协议 的 一 部 分 ) 表 ,可 防止 在 本 网 段 内 盗用 IP。 

IP 电子 欺骗 指 伪 造 某 台 主 机 的 IP 地 址 的 技术 。 被 伪造 的 主机 往往 具有 某 种 特权 或 者 
被 男 外 的 主机 所 信任 ,通常 要 用 编写 的 程序 实现 ,通过 发 送 带 有 假冒 的 源 IP 地 址 的 IP 数据 
包 , 来 达到 自己 的 目的 ,以 IP 地 址 验证 为 基础 。IP 电子 欺骗 出 现 的 可 能 性 较 小 ,一 般 使 用 
防火 墙 可 以 很 容易 地 防备 这 种 攻击 方法 。 应 确信 只 有 内 部 网 络 可 以 使 用 信任 关系 ,并 在 路 
由 器 设置 不 允许 声称 来 自 于 内 部 网 络 的 外 来 包 通 过 。 


2. Sniffer 嗅 探 器 


以 太 网 工作 原理 是 基于 总 线 方式 ,一 台 机 器 发 给 另 一 台 机 器 的 数据 ,共享 hub 先 收 到 , 然 
后 把 它 接收 到 的 数据 再 发 送 给 其 他 所 有 的 端口 ,共享 hub 连接 的 同一 网 段 的 所 有 机 器 的 网 卡 
都 能 收 到 数据 ,使 得 两 台 机 器 传输 数据 时 别 的 端口 也 被 占用 了 ,因此 同一 网 段 同 一 时 间 只 能 有 
两 台 机 器 进行 数据 通信 。 网 卡 收 到 传输 来 的 数据 ,网 卡 内 的 固化 程序 先 接收 数据 头 的 目的 
MAC 地 址 ,判断 是 否 与 自己 的 地 址 相同 ,如 果 相 同 ,就 接收 下 来 存在 网 卡 的 缓冲 区 中 ,然后 产 
生 中 断 信号 通知 CPU, 如 果 不 同 就 丢弃 。CPU 得 到 中 断 信号 后 产生 中 断 , 操 作 系 统 根据 网 卡 
驱动 程序 设置 的 网 卡 中 断 程序 地 址 调用 驱动 程序 接收 数据 , 放 和 人 堆栈 让 操作 系统 处 理 。 

当 发 送 者 希望 引起 网 络 中 所 有 主机 操作 系统 的 注意 时 ,他 就 使 用 “广播 地 址 ”。 多 数 网 
络 接口 具有 设置 成 “混杂 方式 ”的 能 力 。 在 混杂 方式 下 ,网络 接 口 对 遭遇 到 的 每 一 帧 都 产生 
一 个 硬件 中 断 ,而 不 仅仅 是 针对 目标 为 自己 硬件 地 址 或 “广播 地 址 ?的 帧 。 罕 探 仪 通 常 将 网 
络 接口 设置 成 混杂 方式 以 便 监 视 网 段 内 的 每 一 个 数据 报 文 。Sniffer 嗅 探 器 通知 网 卡 接收 
其 收 到 的 所 有 数据 (混杂 模式 ) ,并 通知 主机 进行 处 理 。 如 果 发 现 感 兴趣 的 包 或 是 符合 预先 
设 定 的 过 滤 条 件 的 包 ( 如 设 定 包 中 包含 username 或 password、 银 行 卡 卡号 金融 信息 等 ) ,就 将 
其 存 到 一 个 log 文件 中 。Sniffer 通常 运行 在 路 由 器 或 有 路 由 器 功能 的 主机 上 ,使 得 可 以 对 大 
量 的 数据 进行 监控 。Sniffer 属于 数据 链 路 层 的 攻击 ,通常 攻击 者 已 经 进入 了 目标 系统 。 

Sniffer 可 以 通过 查找 异常 进程 来 发 现 。 为 防止 Sniffer, 可 以 为 传输 加 密 , 根 本 方法 是 
增强 TCP/IP 协议 。 目 前 阶段 基本 是 通过 打 补 丁 来 解决 .如 SSH 协议 和 F-SSH 协议 。 另 


计算 机 信息 安全 管理 实验 教程 


外 一 种 防范 措施 是 采用 安全 拓扑 结构 。 一 个 网 络 段 必须 有 足够 的 理由 才能 相信 另 一 网 络 
段 。 网 络 段 的 设计 应 该 考虑 数据 之 间 的 信任 关系 ,而 不 是 硬件 需要 ,将 所 有 的 问题 都 归结 到 
信任 上 。 计 算 机 和 其 他 计算 机 通信 ,必须 信任 这 台 计算 机 。 考 虑 信任 关系 路 径 的 长 度 , 尽 可 
能 使 得 Sniffer 出 现 后 ,只 对 最 小 范围 有 效 。Sniffer 往往 是 攻击 者 侵入 系统 后 才 使 用 ,因此 
防止 系统 被 突破 是 关键 。 


3. 端口 扫描 技术 


TCP/IP 协议 为 每 种 服务 设 定 了 一 个 端口 。 每 个 端口 拥有 一 个 16 位 的 端口 号 (一 台 主 
机 可 以 定义 2* 即 65 536 个 端口 )。 用 户 自 己 提供 的 服务 可 以 使 用 自由 端口 号 。 一 般 系 统 
使 用 的 端口 号 是 0 一 1023 ,用 户 自己 定义 的 端口 号 从 1024 开始 。TCP/IP 服务 一 般 通 过 IP 
地 址 加 一 个 端口 号 Port 来 决定 。 客 户 端 程序 一 般 通过 服务 器 的 IP 地 址 和 端口 号 与 服务 器 
应 用 程序 进行 连接 (WWW 80. FTP 21. SMTP 25. POP3 110) 。 端 口 就 是 一 个 潜在 的 通 
信和 通道 或 人 侵 通 道 。 对 目标 计算 机 进行 端口 扫描 ,能 得 到 许多 有 用 的 信息 ,从 而 发 现 系统 的 
安全 漏洞 。 可 以 手工 或 通过 端口 扫描 软件 来 扫描 端口 。 

与 手工 扫描 相关 的 网 络 命令 有 以 下 几 个: 

CD ping: 可 以 检测 网 络 目标 主机 存在 与 否 以 及 网 络 是 否 正 常 (能 和 否 通达 ) 。 

(2) tracert: 用 来 跟踪 一 个 报 文 从 一 台 计 算 机 到 另 一 台 计 算 机 所 走 的 路 径 。 

(3) finger: 显示 用 户 的 状态 ,如 用 户 名 、 登 录 的 主机 、 登 录 日 期 等 。 

(4) rusers: 显示 远程 登录 的 用 户 名 .该 用 户 的 上 次 登录 时 间 等 。 

(5) hosts; 可 以 收集 到 一 个 域 里 所 有 计算 机 的 重要 信息 ,包括 域 里 名 字 服 务 器 的 地 址 ， 
一 台 计算 机 上 的 用 户 名 ,一 台 服 务 器 上 正在 运行 什么 服务 及 这 个 服务 是 哪个 软件 提供 的 , 计 
算 机 上 运行 的 是 什么 操作 系统 等 。 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 。 它 的 工作 原理 是 通过 选用 
远程 TCP/IP 不 同 端口 的 服务 ,记录 目标 给 予 的 回答 来 实现 。 扫 描 器 不 是 一 个 直接 攻击 网 
络 漏洞 的 程序 , 它 仅 仅 帮 助人 侵 者 发 现 目标 主机 的 某 些 内 在 弱点 。 好 的 扫描 器 会 对 它 得 到 
的 数据 进行 分 析 , 帮 助人 侵 者 查找 目标 主机 的 漏洞 ,但 不 会 提供 进入 一 个 系统 的 详细 步 又。 
其 基本 功能 包括 : 发 现 一 个 主机 或 网 络 ; 发 现 该 主机 正在 运行 的 服务 ; 通过 测试 这 些 服务 ， 
发 现 内 在 的 漏洞 。 


4. 特洛伊 木马 


特洛伊 木马 (trojan horse) 是 一 个 程序 , 它 驻 留 在 目标 计算 机 里 。 在 目标 计算 机 系统 启 
动 的 时 候 , 特 洛 伊 木马 自动 启动 ,然后 在 某 一 端口 进行 侦 听 。 如 果 在 该 端口 收 到 数据 ,对 这 
些 数 据 进行 识别 ,然后 按 识 别 后 的 命令 .在 目标 计算 机 上 执行 一 些 操作 ,如 窃取 口令 、 复 制 或 
删除 文件 .重启 计算 机 等 。 攻 击 者 一 般 在 人 侵 某 个 系统 后 , 想 办 法 将 特洛伊 拷贝 到 目标 计算 
机 中 ,并 设法 运行 这 个 程序 .从 而 留 下 后 门 。 以 后 ,通过 运行 该 特洛伊 的 客户 端 程序 ,对 远程 
计算 机 进行 操控 。 

木马 与 病毒 的 区 别 在 于 木马 不 具备 复制 能 力 。 木 马 的 运行 应 该 符合 三 个 条 件 : 

COD 木马 需要 一 种 启动 方式 ,一 般 在 注册 表 启 动 组 中 ; 

COD 木马 需要 在 内 存 中 运行 才能 发 挥 作用 ; 

(3) 木马 会 占用 一 个 端口 .以 便 黑客 通过 这 个 端口 和 木马 联系 。 


木马 具有 隐蔽 性 \` 顽 固 性 、 潜 伏 性 等 特点 。 

要 发 现 和 删除 木马 ,可 以 采取 下 面 的 方法 : 

(1) 发 现 木 马 : 使 用 端口 扫描 软件 ,查看 是 否 有 可 疑 的 端口 开放 。 如 有 则 先 记 下 该 端 
口号 ,然后 查看 内 存 中 正在 运行 的 软件 ,记录 其 名 称 和 硬盘 位 置 ,并 依次 终止 。 如 果 端 口 依 
然 开放 , 则 被 终止 的 程序 不 是 木马 ,继续 终止 ,直到 发 现 木 马 。 

(2) 删除 方法 : 备份 需要 删除 的 文件 和 注册 表 ; 终止 程序 在 内 存 中 的 运行 ; 在 注册 表 
中 查询 包含 该 文件 名 的 键 值 ,然后 删除 。 对 于 捆绑 式 木 马 ,重新 安装 被 捆绑 程序 。 删 除 木马 
最 简单 的 方法 是 安装 杀毒 软件 。 


5. 拒绝 服务 式 攻击 


DoS(Denial of Service) 攻 击 行动 使 网 站 服务 器 充斥 大 量 要 求 回 复 的 信息 ,消耗 网 络 带 
宽 或 系统 资源 ,导致 网 络 或 系统 不 胜 负荷 以 致 瘫痪 而 停止 提供 正常 的 网 络 服务 。 

拒绝 服务 式 攻击 的 原理 为 : 发 送 者 发 出 “我 来 了 ”的 连接 请 求 后 ,立即 离开 。 服 务 器 收 
到 请 求 却 找 不 到 发 送 该 请 求 的 客户 端 。 于 是 ,按照 协议 , 它 等 一 段 时 间 后 再 与 客户 端 连接 。 
用 户 传送 众多 要 求 确认 的 信息 到 服务 器 ,使 服务 器 里 充斥 着 这 种 无 用 的 信息 。 所 有 的 信息 
都 有 需要 回复 的 虚假 地 址 ,以 至 于 当 服 务 器 试图 回 传 时 , 却 无 法 找到 用 户 。 服 务 器 于 是 暂时 
等 候 ,然后 再 切断 连接 。 用 户 再 度 传送 新 一 批 需要 确认 的 信息 ,周而复始 ,导致 服务 器 无 法 
正常 工作 ,完全 瘫痪 。 

DDoS(Distributed Denial of Service, 分 布 式 拒绝 服务 攻击 ) 的 工作 原理 为 攻击 者 利用 
上 千 台 客户 端 同 时 攻击 一 个 服务 器 。 其 攻击 步 又 为 : 

(1) 探测 扫描 大 量 主 机 以 寻找 可 入 侵 目 标 主机 ; 

CD 入 侵 有 安全 漏洞 的 主机 并 获得 控制 权 ; 

O 在 每 台 入 侵 主机 中 安装 攻击 程序 ; 

COD 利用 已 入 侵 主机 继续 扫描 和 入 侵 。 

防范 拒绝 服务 式 攻击 ,首先 要 防止 成 为 被 利用 的 工具 ,其 次 要 防止 成 为 被 攻击 的 对 象 。 
可 以 采取 的 防范 措施 有 : 

COD 优化 路 由 及 网 络 结构 ， 

(2) 优化 对 外 提供 服务 的 主机 。 使 用 多 宿主 机 ,将 网 站 分 布 在 多 个 不 同 的 物理 主机 上 ， 
防止 网 站 在 遭受 攻击 时 全 部 瘫痪 ; 

G) 当 攻 击 正在 进行 时 ,立即 启动 应 付 策略 , 尽 可 能 快 地 追踪 攻击 包 , 并 与 服务 提供 商 
联系 ; 

(4) 提高 系统 安全 强度 , 防止 被 入 侵 。 如 经 常 下 载 系统 软件 补丁 ,开启 尽 可 能 少 的 服 
务 ,对 系统 进行 安全 审核 .漏洞 排查 等 。 


2.1.3 防火 墙 技术 


防火 墙 是 综合 采用 适当 技术 ,通过 对 网 络 做 拓扑 结构 和 服务 类 型 上 的 隔离 ,在 被 保护 网 
络 周边 建立 的 分 隔 被 保护 网 络 与 外 部 网 络 的 系统 。 它 通常 是 软件 和 硬件 的 组 合体 。 

防火 墙 适合 在 专 网 中 使 用 .特别 是 在 专 网 与 公共 网 络 互联 时 。 它 所 保护 的 对 象 是 网 络 
中 有 明确 闭合 边界 的 一 个 网 块 , 它 的 防护 对 象 是 来 自 被 保护 网 块 外 部 的 对 网 络 安全 的 威胁 。 
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防火 墙 一 般 具 有 以 下 基本 功能 : 

(1) 过 滤 进 出 网 络 的 数据 包 ; 

(2) 管理 进出 网 络 的 访问 行为 ; 

G) 封 堵 某 些 禁止 的 访问 行为 ; 

(4) 记录 通过 防火 墙 的 信息 内 容 和 活动 ; 

(5) 对 网 络 攻击 进行 检测 和 警告 。 

防火 墙 的 优点 有 : 

(1) 简化 安全 管理 ; 

(2). 保护 网 络 中 脆弱 的 服务 ; 

G) 用 户 可 以 很 方便 地 通过 审计 监视 网 络 的 安全 性 ,并 产生 报警 信息 ; 

(4) 增强 保密 性 ,强化 私有 权 ; 

(5) 防火 墙 是 审计 和 记录 网 络 流量 的 一 个 最 佳 地 方 。 

防火 墙 的 缺陷 有 : 

(1) 限制 有 用 的 网 络 服务 ; 

(2) 不 能 有 效 防护 内 部 网 络 用 户 的 攻击 ; 

(3) Internet 防火 墙 无 法 防范 通过 防火 墙 以 外 的 其 他 途径 的 攻击 ; 

(4) 防火 墙 也 不 能 完全 防止 传送 已 感染 病毒 的 软件 或 文件 ; 

(5) 防火 墙 无 法 防范 数据 驱动 型 (表面 上 看 是 没有 害处 的 数据 ,而 其 中 隐藏 了 一 些 可 以 
威胁 主机 安全 的 指令 ) 的 攻击 ; 

(6) 不 能 防备 新 的 网 络 安全 问题 。 防 火 墙 是 一 种 被 动 式 的 防护 手段 ,只 能 对 现在 已 知 
的 网 络 威胁 起 作用 。 

防火 墙 的 类 型 有 包 过 滤 型 防火 墙 、 双 宿 网 关 防 火 墙 和 屏蔽 子 网 防火 墙 。 

包 过 滤 型 防火 墙 又 称 网 络 级 防火 墙 。 包 过 滤 型 防火 墙 一 般 通 过 路 由 器 实现 ,也 称 作 包 
过 滤 路 由 器 (packet filtering router)。 包 过 滤 防 火 墙 工作 原理 为 在 网 络 层 对 进出 内 部 网 络 
的 所 有 信息 进行 分 析 ,并 按照 一 组 安全 策略 (信息 过 滤 规 则 ) 进 行 筛选 ,允许 授权 信息 通过 ， 
拒绝 非 授权 信息 。 信 息 过 滤 规 则 以 收 到 的 数据 包 的 头 部 信息 为 基础 。 过 滤 路 由 器 基于 源 
IP 地 址 .目的 地 址 和 IP 选项 进行 过 滤 。 包 过 滤 型 防火 墙 遵循 “最 小 特权 原则 ”, 即 明确 允许 
管理 员 和 希望 通过 的 数据 包 , 禁 止 其 他 的 数据 包 。 

包 过 滤 型 防火 墙 的 优点 有 : 

COD 工作 在 网 络 层 , 根 据 数据 包 的 报头 部 分 进行 判断 处 理 , 不 去 分 析 数 据 部 分 ,因此 处 
理 包 的 速度 比较 快 ; 

(2) 实施 费用 低廉 ,一 般 的 路 由 器 已 经 内 置 了 包 过 滤 功 能 ， 

G) 包 过 滤 路 由 器 对 用 户 和 应 用 来 讲 是 透明 的 ,用 户 可 以 不 知道 包 过 滤 防 火 墙 的 存在 ， 
也 不 需要 对 客户 端 进行 变更 ; 不 需 特别 的 培训 和 安装 特定 的 软件 。 

包 过 滤 型 防火 墙 有 以 下 缺点 : 

d) 定义 数据 包 过 滤 规 则 会 比较 复杂 ; 

(2) 只 能 阻止 一 种 类 型 的 IP 欺骗 , 即 外 部 主机 伪装 内 部 主机 的 IP, 不 能 防止 外 部 主机 
伪装 其 他 可 信任 的 外 部 主机 的 IP; 

(3) 直接 经 由 路 由 器 的 数据 包 都 有 被 用 作 数 据 驱动 型 攻击 的 潜在 危险 ; 


OD 不 支持 基于 用 户 的 认证 方式 (网 络 层 之 上 ); 

(5) 不 能 提供 有 用 的 日 志 ; 路 由 器 本 身 存储 容量 有 限 ; 

(6) 随 着 过 滤 规 则 的 复杂 化 和 通过 路 由 器 进行 处 理 的 数据 包 数 目的 增加 ,路 由 器 的 吞 
吐 量 会 下 降 ; 

CD) IP 包 过 滤 无 法 对 网 络 上 流动 的 信息 提供 全 面 的 控制 ; 无 法 对 数据 包 正 文部 分 进行 
分 析 。 

双重 宿主 主机 防火 墙 , 是 一 种 拥有 两 个 连接 到 不 同 网 络 上 的 网 络 接口 的 防火 墙 。 其 特点 
是 ,内 部 网 络 与 外 部 不 可 信任 的 网 络 之 间 是 隔离 的 ,两 者 不 能 直接 进行 通信 。 双 重 宿 主 主机 可 
以 提供 两 种 方式 的 服务 : 用 户 直 接 登 录 到 双重 宿主 主机 ,或 在 双重 宿主 主机 上 运行 代理 服务 
器 。 第 一 种 方式 管理 困难 , 且 危 险 性 大 (需要 在 宿主 主机 上 建 许多 帐号 ,安全 性 差 , 不 利 管理 ) 。 
因此 , 双 宿 主 主机 一 般 采 用 代理 方式 提供 服务 ; 该 主机 也 称 代理 服务 器 (Proxy Server) 。 

双 宿 网 关 防 火 墙 的 原理 为 : 首先 要 禁止 网 络 层 的 路 由 功能 ,从 而 切断 内 外 网 络 之 间 的 
IP 数据 流 , 同 时 强大 的 身份 认证 系统 实现 了 访问 控制 。 在 网 络 层 以 上 智能 连接 客户 端 和 服 
务 器 ,并 能 够 检查 IP 包 , 加 以 分 析 ,最终 按照 相应 的 内 容 采取 相应 的 步骤 。 

代理 服务 器 是 接收 或 解释 客户 端 连接 并 发 起 到 服务 器 的 新 连接 的 网 络 节点 。 主 要 用 于 
将 企业 网 Intranet 连接 到 Internet。 代 理 服务 器 分 为 应 用 层 代 理 、 传 输 层 代理 和 Socks 代 
理 。 代 理 服务 器 使 用 单个 合法 IP 地 址 处 理 所 有 发 出 的 请 求 。 其 优点 有 : 

COD 节约 合法 的 C 类 IP 地 址 (最 高 位 110, 网 络 号 21 f. 主机 号 8 位 ); 同时 提高 企业 
局 域 网 的 安全 性 ,因为 外 部 网 络 不 能 直接 访问 内 部 的 私有 TP 地 址 ; 

(2) 通过 设置 缓存 能 够 加 快 浏览 速度 ; 

(3) 具有 较 好 的 安全 性 ,可 以 设置 安全 控制 策略 ,提供 认证 和 授权 ; 

(4) 可 以 根据 用 户 名 、 源 和 目的 地 址 及 内 容 等 进行 过 滤 ; 

CO 具有 强大 的 日 志 功 能 ,并 可 进行 流量 计 费 。 

双 宿 网 关 防 火 墙 的 缺点 为 : 实现 麻烦 ,每 一 种 协议 需要 相应 的 代理 软件 (不 支持 代理 的 
协议 ); 使 用 时 工作 量 大 ,用 户 在 受信 任 网 络 上 通过 防火 墙 访问 Internet 时 ,经 常会 出 现 延 
述 和 多 次 登录 才能 访问 外 部 网 络 的 情况 ; 速度 较 慢 ,不 太 适 应 于 高 速 网 之 间 的 应 用 ;: 内 部 
用 户 对 服务 器 主机 的 依赖 性 高 。 

屏蔽 子 网 防火 墙 通过 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 子 网 进行 隔离 。 这 个 子 网 构 
造 了 一 个 屏蔽 子 网 区 域 , 称 为 边界 网 络 (Perimeter Network) . 也 称 为 非 军事 区 (De- 
Militarized Zone,DMZ) 。 屏 蔽 子 网 防火 墙 系统 使 用 了 两 个 包 过 滤 路 由 器 : 内 部 路 由 器 、 外 
部 路 由 器 和 一 个 堡垒 主机 。 将 堡垒 主机、 信息 服务 器 和 其 他 公用 服务 器 放 在 “ 非 军 事 区 ”网 
络 中 ,该 网 络 很 小 ,处 于 Internet 和 内 部 网 之 间 。 即 使 堡垒 主机 被 入 侵 者 控制 ,所 能 侦 听 到 
的 内 容 也 是 有 限 的 , 即 只 能 侦 听 到 周边 网 络 的 数据 ,不 能 侦 听 到 内 部 网 上 的 数据 。 

屏蔽 子 网 防火 墙 的 * 非 军事 区 ?配置 成 使 用 Internet, 内 部 网 络 系统 能 够 访问 * 非 军事 
区 "网络 上 数目 有 限 的 系统 ,而 通过 “ 非 军事 区 "网络 直接 进行 信息 传输 是 严格 禁止 的 。 外 部 
路 由 器 主要 功能 有 : 防范 通常 的 外 部 攻击 ; 管理 Internet 到 DMZ 的 访问 ; 通过 代理 服务 只 
允许 外 部 系统 访问 堡垒 主机 ; 保护 * 非 军事 区 "上 的 主机 。 内 部 路 由 器 功能 有 : 负责 管理 
DMZ 到 内 部 网 络 的 访问 ; 仅 接收 来 自 堡垒 主 机 的 数据 包 ; 完成 防火 墙 的 大 部 分 过 滤 工 作 。 
一 有 旦 堡垒 被 控制 ,内 部 路 由 器 仍 可 以 对 内 部 网 络 实施 保护 。 堡 又 主机 的 主要 功能 是 进行 安 
全 防护 ; 运行 各 种 代理 服务 ,如 WWW、FTP、Telnet。 
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屏蔽 子 网 防火 墙 安全 性 好 ,但 成 本 昂贵 。 

常见 的 防火 墙 产品 有 国外 的 Check Point Firewall-1,Cisio PIX, Axent Raptor, 国 内 的 

进行 网 络 安全 控制 时 需要 先 制定 访问 控制 策略 ,访问 控制 策略 规定 了 网 络 不 同 部 分 允 
许 的 数据 流向 ,还 会 指定 哪些 类 型 的 传输 是 允许 的 ,哪些 传输 将 被 阻塞 。 访问 控制 描述 符 
有 : 流向 、 服 务 ,指定 主 机 、 用 户 个 人 、 时 间 、 加 密 与 否 、 服 务 质量 (如 带宽 限制 ) 等 。 内 容 清 楚 
的 访问 控制 策略 有 助 于 保证 正确 选择 防火 墙 产品 o 

设计 和 选用 防火 墙 时 ,首先 要 明确 哪些 数据 是 必须 保护 的 ,这 些 数据 的 被 侵入 会 导致 什 
么 样 的 后 果 , 及 网 络 不 同 区 域 需要 什么 等 级 的 安全 级 别 。 其 次 ,防火 墙 必须 与 网 络 接口 匹 
配 ,要 防止 所 能 想到 的 威胁 ,防火 墙 自身 应 有 相当 高 的 安全 保护 。 

好 的 防火 墙 应 该 是 整个 Intranet 网 络 的 保护 者 ,而 不 局 限于 通过 防火 墙 的 使 用 者 ; 能 
弥补 操作 系统 之 不 足 ,为 使 用 者 提供 不 同 平台 的 选择 ,并 向 使 用 者 提供 完善 的 售后 服务 。 


2.2 实验 项 目 


2.2.1 IE 浏览 器 安全 设置 


1. 实验 目的 
掌握 IE 浏览 器 提供 的 各 项 安全 机 制 的 配置 方法 ,提高 上 网 时 的 系统 安全 性 。 
2. 实验 原理 


TE 浏览 器 作为 用 户 上 网 时 的 基本 工具 ,提供 了 一 系列 基本 的 网 络 访问 安全 控制 手段 ， 
用 户 应 根据 自己 的 需求 进行 重新 设置 ,提高 网 络 访问 的 安全 性 。 


3. 实验 环境 
运行 Windows 操作 系统 的 主机 ,安装 IE 6.0 软件 。 
4. 实验 内 容 


(1) 设置 Internet 安全 选项 ,禁止 下 载 未 签名 的 ActiveX 控件 和 未 经 安全 认证 的 软件 
和 插件 ; 

(2) 屏蔽 Cookies; 

(3) 添加 www. dhu. edu. cn 为 可 信 站 点 ,启用 安全 链接 ; 

(4) 添加 www. 123. com 为 受 限 站 点 ; 

(5) 在 个 人 信息 中 ,禁用 表单 的 自动 完成 功能 ,对 表单 和 密码 的 自动 完成 历史 记录 进行 
清除 ; 
(6) 更 改 颜 色 显 示 , 掩 藏 自己 的 上 网 访问 痕迹 ; 
CO 启用 分 级 审查 ,设置 监护 人 密码 ; 
(8) 通过 以 下 方法 恢复 被 修改 的 TE 设置 。 
D 手工 恢复 被 修改 的 主页 : HKEY CURRENT USER,Software, Microsoft, Internet 
Explorer, Main, 


© 利用 软件 工具 恢复 被 修改 的 TE 设置 : 如 金山 毒霸 注册 表 修 改 工 具 或 超级 兔子 系列 


软件 。 
5. 实验 步骤 


(1) 选择 “Internet 选 
图 2. 1 和 图 2. 2 所 示 。 
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图 2.1 设置 IE 安全 级 别 


全 ”| Internet|* 自 定义 级 别 ”, 分 别 选取 相应 的 条 目 , 如 
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图 2.2 自 定义 安全 级 别 


(2) 选择 “Internet 选项 "| 隐私 ?选项 卡 , 拖 动 滑 块 至 最 高 级 别 , 如 图 2. 3 所 示 。 
G) 选择 “Internet 选项 "| 安全 "|* 受 信任 的 站 点 "| 站 点 ”选中 * 对 该 区 域 中 的 所 有 站 
点 要 求 服务 器 验证 ”" 复 选 框 ,输入 www. dhu. edu. cn 并 添加 ,如 图 2.4 和 图 2. 5 所 示 。 
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图 2.3 设置 隐私 保护 级 别 
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图 2.4 设置 受信 任 站 点 
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(4) 选择 “Internet 选项 ?|* 安 全 ”|* 受 限制 的 站 点 ”|* 站 点 ”, 输 入 www. 123. com 并 添 
加 ,如 图 2.6 和 图 2.7 所 示 。 


可 到 
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图 2.5 设置 受信 任 站 点 信息 


图 2.6 设置 受 限 制 站 点 
(5) 选择 *Internet 选项 "|* 内 容 "|* 个 人 信息 ”|* 自 动 完成 "取消 各 选项 ,并 单 击 * 清 除 
表单 "“ 清 除 密码 "按钮 ,如 图 2. 8 所 示 。 
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图 2.7 设置 受 限 制 站 点 信息 


图 2.8 设置 自动 完成 功能 


(6) 选择 “Internet 选项 ”|“ 常 规 ” 选 项 卡 , 单 击 “ 颜 色 ” 按 钮 ,将 访问 过 和 未 访问 链接 设 为 
相同 颜色 ; 再 单 击 “辅助 功能 ”, 选 中 “不 使 用 网 页 中 指定 的 颜色 ” 复 选 框 ,如 图 2.9 和 图 2. 10 
所 示 。 


CD) 选择 “Internet 选项 ”| “内容”1“ 分 级 审查 ”1“ 设 置 "| “常规 ” ,设置 监 督 人 密码 ,分 别 
对 审查 内 容 进行 定制 ,如 图 2. 11 一 图 2.13 所 示 。 


图 2.9 设置 网 页 显示 颜色 
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图 2.11 设置 内 容 审查 级 别 
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图 2.10 清除 网 页 访问 痕迹 
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设置 监督 人 信息 


图 2. 12 
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2.13 设置 监督 人 密码 


计算 机 信息 安全 管理 实验 教程 


(8) 选择 “程序 "| 运行 ”命令 ,在 “运行 "对 话 框 中 输入 regedit, 打 开 注 册 表 ,在 HKEY_ 
CURRENT_USER\Software\Microsoft\ Internet Explorer\Main 分 支 下 ,修改 Start Page 
等 项 的 键 值 。 


6. 实验 报告 与 要 求 
根据 上 面 介绍 的 各 项 实验 要 求 ,详细 观察 设置 前 后 进行 网 络 访问 的 变化 ,给 出 分 析 报 告 。 
7. 实验 分 析 与 讨论 


各 项 安全 功能 的 增强 ,往往 会 带 来 网 络 访问 的 不 便 。 在 提高 安全 性 的 同时 ,为 保证 上 网 
便利 性 ,可 以 通过 多 种 方法 来 实现 ,其 中 对 访问 空间 进行 分 区 是 一 种 可 行 的 途径 。IE 提供 
的 不 同 分 区 有 四 种 : 局 域 网 、 可 信任 站 点 、 受 限制 站 点 、Internet 站 点 。 可 以 将 访问 资源 进行 
合理 分 类 ,并 分 别 设置 各 分 区 的 不 同安 全 级 别 。 


8. 注意 事项 
设置 可 信任 站 点 时 ,对 启用 SSL 加 密 链 接 的 站 点 ,需要 添加 https 前 组 。 


2.2.2 网 络 监 听 与 防范 


1. 实验 目的 
掌握 Sniffer 捕获 数据 包 的 技术 ,了 解 一 般 局 域 网 内 监听 手段 ,掌握 如 何 防范 攻击 。 
2. 实验 原理 


Sniffer 利用 计算 机 的 网 络 接口 截获 发 往 其 他 计算 机 的 数据 报 文 。 它 工作 在 网 络 的 底 
层 , 把 网 络 传输 的 全 部 数据 记录 下 来 ,不 仅 可 以 使 黑客 和 网 络 攻击 者 获取 其 他 用 户 在 网 上 发 
送 的 明文 信息 ,也 可 以 帮助 网 络 管理 员 查 找 网 络 漏洞 和 检测 网 络 性 能 ,还 可 以 分 析 网 络 的 流 
量 , 以 便 找 出 所 关心 的 网 络 中 潜在 的 问题 ,在 对 网 络 犯罪 进行 侦察 取证 时 获取 有 关 犯 罪行 为 
的 重要 信息 ,成 为 打击 网 络 犯罪 的 有 力 手 段 。Sniffer Pro 是 一 种 常用 的 Sniffer 工具 。 


3. 实验 环境 


三 台 互 联 的 主机 ,IP 地 址 分 别 为 I[P1、IP2、IP3. 其 中 Sniffer 程序 安装 在 IP 地 址 为 IP3 
的 主机 上 。 


4. 实验 内 容 


COD 设置 监听 对 象 和 内 容 ; 

(2) 获取 监听 内 容 并 进行 分 析 。 

5. 实验 步骤 

(1) 打开 Sniffer Pro 程序 ,进入 主 界面 ,如 图 2. 14 所 示 。 


(2) 选择 File| Select Settings 菜单 ,在 弹出 的 对 话 框 中 选择 要 进行 监听 的 网 络 接口 所 
对 应 的 网 卡 ,并 单 击 “确定 ”按钮 ,如 图 2. 15 所 示 。 
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Kd 2.14 Sniffer Pro 主 界面 
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图 2.15 选择 要 进行 监听 的 网 络 接口 所 对 应 的 网 卡 
(3) 选择 Capture|Define Filter 菜单 .在 弹出 的 对 话 框 中 对 默认 抓 包 规则 进行 修改 ,如 

图 2. 16 所 示 。 
axi 


Somaary | Adäress | 


Buffer size: 8 Mee Byte 
Puffer actien: Wrap 


x | Profiles... 
图 2. 16 对 默认 抓 包 规则 进行 修改 


(4) 打开 Address 选项 卡 ,设置 要 监听 的 网 络 通信 收发 双方 的 地 址 ,同时 选中 IP 和 
Include 模式 ,如 图 2. 17 所 示 。 

(5) 打开 Advanced 选项 卡 ,对 要 抓 取 的 数据 包 的 大 小 、 类 型 及 所 使 用 的 协议 进行 设置 ， 
本 实验 中 选择 IP 及 其 下 级 选项 ICMP ,其 他 设置 不 变 , 如 图 2. 18 所 示 。 
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Define Filter - Capt 
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图 2.17 设置 要 监听 的 网 络 通信 双方 的 地 址 
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图 2.18 设置 抓 取 数据 包 的 类 型 及 所 使 用 的 协议 


(6) 打开 Summary 选项 卡 ,可 看 到 修改 后 的 过 滤 规 则 的 完整 描述 ,如 图 2. 19 所 示 。 
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2.19 查看 过 滤 规 则 


(7) 选择 菜单 栏 中 的 Capture| Start, 开 始 捕获 数据 包 。 

(8) $ IP1 主机 ping IP2 主机 。 

(9) 选择 菜单 栏 中 Capture| Stop and Display, 结 束 捕 获 数 据 包 并 显示 结果 。 打 开 下 面 
的 Decode 选项 卡 ,得 到 捕获 数据 包 的 解码 信息 ,如 图 2. 20 所 示 。 


Sniffer - Local, Ethernet (Line speed at 100 Mbps) - [Snif1: Decode, 1/1 Ethernet Frames. E 
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图 2. 20 查看 捕获 数据 包 信息 


6. 实验 报告 与 要 求 


详细 描述 实验 过 程 ,仔细 查 看 截获 的 数据 ,分 析 通 过 嗅 探 器 能 够 获取 哪些 信息 ,撰写 实 
验 报告 。 


7. 实验 分 析 与 讨论 
根据 嗅 探 器 工作 原理 ,分 析 如 何 抵御 嗅 探 器 攻击 。 
8. 注意 事项 


COD 实验 时 ,可 以 由 3 个 用 户 为 一 小 组 进行 ; 

(2) 修改 过 滤 规 则 中 的 协议 ,可 以 获得 更 多 的 数据 包 , 但 会 对 分 析 工 作 造 成 一 定 困难 ， 
因此 ,应 根据 需要 进行 设置 ; 

(3) 在 监听 过 程 中 ,如 果 没 有 抓 取 数据 包 , 则 菜单 栏 中 Capture| Stop and Display 为 灰 
色 不 可 选项 ; 

(4) 监听 结果 窗口 中 分 为 三 个 区 域 , 从 上 到 下 分 别 为 : 截获 的 整个 通信 过 程 所 有 数据 
包 的 简要 描述 .选中 数据 包 的 详细 结构 和 选中 数据 包 的 完整 二 进 制 表示 。 
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2.2.3 木马 攻击 与 防范 


1. 实验 目的 


理解 和 掌握 木马 传播 和 运行 的 机 制 , 掌 握 检 查 和 删除 木马 的 技巧 ,学 会 防御 木马 的 相关 
知识 ,加 深 对 木马 的 安全 防范 意识 。 


2. 实验 原理 


冰河 木马 是 国内 一 款 非常 有 名 的 木马 程序 ,功能 非常 强大 。 该 木马 一 般 由 两 个 文件 组 
W: G Client 和 G_Server, 其 中 G_Server 是 木马 的 服务 器 端 , 是 用 来 植 入 目标 主机 的 程序 ， 
G Client 是 木马 的 客户 端 , 即 木 马 的 控制 端 。 当 目标 主机 连接 到 因特网 上 时 ,木马 程序 就 
会 统计 被 攻击 者 信息 ,报告 主机 IP 地 址 以 及 预先 设 定 的 端口 。 攻 击 者 在 收 到 信息 后 ,利用 
木马 程序 可 以 对 目标 计算 机 进行 各 种 操作 。 


3. 实验 环境 


两 台 主 机 ,一 台 安 装 Windows 2000 Pro 或 者 Windows XP 操作 系统 , 另 一 台 安 装 
Windows 2000 Server 操作 系统 。 


4. 实验 内 容 


(1) 安装 冰河 木马 程序 的 客户 端 ; 

(2) 攻击 目标 主机 ,安装 冰河 木马 程序 的 服务 器 端 ; 
(3) 运行 客户 端 程序 对 目标 计算 机 进行 控制 ; 

(4) 删除 冰河 木马 。 

5. 实验 步骤 


A) 运行 冰河 木马 程序 ,选择 菜单 “设置 ?| “配置 服务 程序 ”命令 ,打开 的 窗口 如 图 2. 21 
所 示 。 
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图 2. 21 冰河 木马 主 界面 
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(2) 设置 待 配 置 文件 为 C:\WINDOWS\system32\TaiGu\glacier\G_SERVER. EXE. 
设置 访问 口令 为 111111, 其 他 为 默认 值 , 单 击 “ 确 定 ” 按 钮 ,生成 木马 的 服务 端 程序 
G_SERVER. EXE, 如 图 2. 22 所 示 。 
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图 2.22 进行 服务 器 端 配 置 


(3) 关闭 目标 主机 防火 墙 和 杀毒 软件 的 自动 防护 功能 ， 
运行 木马 服务 器 端 程序 G_SERVER. EXE. 
CD 打开 木马 客户 程序 , 单 击 * 添 加 计算 机 "按钮 ,在 * 显 | meam: fes 


示 名 称 ”中 输入 显示 在 主 界面 的 名 称 ,“ 主 机 地 址 ”中 输入 服 。 | E 
务 端 主机 IP 地 址 ,“ 访 问 口令 ”中 输入 111111,“ 监 听 端 口 ” | Weser CU 
En 


中 输入 冰河 木马 的 默认 监听 端口 7626, 如 图 2. 23 所 示 。 
(5) 在 主 界面 窗口 可 以 看 到 添加 了 主机 ,如 图 2. 24 
所 示 。 
(6) 打开 主 界面 中 “命令 控制 台 ” 选 项 卡 , 单 击 “ 口 令 类 图 2.23 设置 木马 客户 端 配置 
命令 ”, 查 看 目标 主机 相关 信息 ,如 图 2.25 Bras. 
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2.24 查看 所 添加 主机 信息 


计算 机 信息 安全 管理 实验 教程 
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图 2.25 查看 目标 主机 相关 信息 


CD 打开 “控制 类 命令 ”, 了 解 木 马 可 实 现 的 操作 ,如 图 2. 26 所 示 。 
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图 2. 26 查看 控制 类 命令 
(8) 了 解 其 他 控制 命令 ,如 图 2. 27 和 图 2. 28 所 示 。 
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2. 27 查看 网 络 类 命令 和 文件 类 命令 
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图 2. 28 查看 设置 类 命令 


(9) 打开 注册 表 ,手动 印 载 冰河 木马 程序 。 
(D 在 HKEY. LOCAL. MACHINEN SOFTWARE V Microsoft \ Windows\CurrentVersion\ 
Run 中 ,删除 默认 键 值 C:\WINDOWS\system32\KERNEL32. EXE, 如 图 2. 29 所 示 。 
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图 2.29 修改 注册 表 启 动 程序 


@ 将 注册 表 中 HKEY_CLASSES_ROOT\txtfile\shell\open\command 下 的 默认 值 改 
为 C: NWINDOWSVnotepad. exe %1, 恢 复 被 木马 程序 修改 的 exc 文件 关联 程序 ,如 图 2. 30 
所 示 。 
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2.30 修改 注册 表 文 件 关联 程序 


计算 机 信息 安全 管理 实验 教程 


© 进入 C: N WINDOWSNsystem32. 目录 ,找到 并 删除 冰河 木马 的 两 个 可 执行 文件 
KERNEL32. EXE 和 SYSEXPLR.EXE, 如 图 2. 31 所 示 。 


IMO WED FEV BRA TED Mhp 


Oa- O Pur prr E 


HEO [E Ciwmpowsieystem32 
EI 


图 2.31 删除 木马 文件 


6. 实验 报告 与 要 求 
详细 描述 实验 过 程 .分 析 木 马 程序 会 对 主机 造成 哪些 危害 ,撰写 实验 报告 。 
7. 实验 分 析 与 讨论 


了 解 还 有 哪些 常见 的 木马 程序 ,它们 的 加 载 、 使 用 和 攻击 方式 有 何不 同 ,并 了 解 和 使 用 
常用 的 木马 查 杀 工具 ,思考 如 何 防范 木马 攻击 。 


8. 注意 事项 


(1) 实验 前 需要 关闭 服务 端 主机 杀毒 软件 的 自动 防护 功能 和 防火 墙 ,否则 程序 会 被 当 
作 病 毒 而 强行 终止 ; 

(2) 删除 冰河 木马 程序 除了 采用 手工 方式 外 .也 可 以 在 客户 端 自动 印 载 或 使 用 杀毒 软 
件 进行 查 杀 。 


2.2.4 DDoS 攻击 与 防范 


1. 实验 目的 


通过 使 用 拒绝 服务 (DoS) 工 具 和 分 布 式 拒绝 服务 (DDoS) 攻 击 工 具 对 目标 主机 进行 攻 
击 , 理 解 DoS/DDoS 攻击 的 原理 及 实施 过 程 ,了 解 IPv4 的 固有 缺陷 。 


2. 实验 原理 
SYN Flood 是 目前 较 常见 的 DoS/DDoS 的 方式 之 一 ,该 方式 利用 TCP 协议 缺陷 ,发 送 
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大 量 伪造 的 TCP 连接 请 求 , 使 得 被 攻击 方 资源 耗 尽 ,系统 无 法 运行 或 者 服务 可 用 性 大 大 
降低 。 

3. 实验 环境 

两 台 或 多 台 相 连 的 运行 Windows 2000 操作 系统 的 计算 机 。 

4. 实验 内 容 

采用 SYN Flood 工具 进行 拒绝 服务 攻击 

5. 实验 步骤 


(1) 打开 目标 主机 的 防护 软件 的 实时 监控 功能 
(2) 打开 命令 行 窗口 ,进入 syn 的 对 应 目录 ,运行 syn. exe, 根 据 提示 输入 目标 IP 和 端 


32 所 示 


口 (一 般 为 139) ,开始 攻击 ,如 图 2. 


|^ Hip RA -syn 


Cz NDocunents and Settings Midministrator?e: 


图 2. 32 运行 拒绝 服务 攻击 


(3) 查看 目标 主机 防护 软件 阻止 攻击 情况 ,如 图 2. 33 所 示 。 


保护 :正在 运行 


e 所 有 威胁 已 经 处 理 
nas: wo Fma: 


27 持续 时 间 : 
n 
1 


Tta S ga AE SETS 


"e 
保护 您 的 电脑 开始， 
6 ESR: 无 法 同时 运行 两 个 任务 。 
请 毒 库 过 期- 
保护 悠 的 电脑 开始 。 
Do5,Generic.5YNFicod! 攻击 者 IP 地 址 ; 192.168.1.32. 协议 /服务 ; TP 在 本 地 端口 139. 时 间 ; 200..… 
更 新 成 功 友 成 一 


tE (A) 
€ *m Omm 


图 2.33 查看 目标 主机 防护 软件 对 攻击 的 截获 
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6. 实验 报告 与 要 求 
根据 上 面 介绍 的 实验 要 求 , 两 人 一 组 考察 攻击 前 后 目标 主机 的 变化 ,给 出 分 析 报告 。 
7. 实验 分 析 与 讨论 


在 没有 安装 任何 补丁 的 两 台 主 机 间 进 行 拒绝 服务 攻击 ,观察 攻击 过 程 。 同 时 根据 拒绝 
服务 攻击 的 原理 ,制订 出 防范 该 攻击 的 措施 。 


8. 注意 事项 


COD 本 实验 中 由 于 目标 主机 已 安装 相关 的 系统 补丁 和 防护 软件 ,SYS Flood 没有 成 功 ， 
在 屏幕 上 显示 无 数据 包 成 功 发 送 , 如 果 攻 击 成 功 . 则 屏幕 上 会 显示 具体 的 发 送 数 据 包 信息 。 

(2) 目标 主机 虽然 成 功 阻止 SYS Flood 攻击 .但 系统 性 能 仍然 会 受到 一 定 影响 ,实验 中 
可 以 观察 到 。 


2.2.5 网 络 扫描 技术 


1. 实验 目的 
了 解 扫描 技术 的 工作 原理 ,掌握 常用 扫描 工具 的 基本 用 法 。 
2. 实验 原理 


X-Scan 是 由 国内 著名 的 网 络 安 全 站 点 “安全 焦点 "开发 的 一 款 运行 在 Windows 平台 
下 免费 的 扫描 工具 。X-Scan 采用 多 线程 方式 对 指定 的 TP 地 址 段 (或 单 主机 ) 进 行 安全 漏 
洞 检查 ,支持 插件 功能 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 。 扫 描 的 内 容 包 括 远程 操作 
系统 类 型 及 版 本 .标注 端口 状态 及 端口 Banner 信息 、 各 种 弱 口 令 漏 洞 、RPC 漏洞 .CGI 漏 
洞 \. 后 门 、 网 络 设备 漏洞 以 及 拒绝 服务 漏洞 等 。X-Scan 把 扫描 报告 和 安全 焦点 网 站 相 链 接 ， 
对 扫描 到 的 每 个 漏洞 进行 “风险 等 级 ”评估 .并 提供 漏洞 描述 、 利 用 程序 及 解决 方案 。 


3. 实验 环境 
j A 323€ Windows 2000/XP 的 主机 ,其 中 一 台 安 装 X-Scan v3. 0 绿色 免 安装 版 软件 。 
4. 实验 内 容 


(1) 设置 X-Scan 软件 ; 
(2) 扫描 本 机 漏洞 ; 
(3) 对 网 络 目标 主机 进行 探测 。 


5. 实验 步骤 


COD 运行 X-Scan 主 程序 ,浏览 主 界面 中 对 软件 的 介绍 ,如 图 2. 34 所 示 。 

(OD 选择 “扫描 模块 "图 标 ,对 将 要 扫描 的 内 容 进 行 设置 ,如 图 2. 35 所 示 。 

(3) 选择 “扫描 参数 ”图 标 . 打 开 “ 扫 描 参 数 ” 对 话 框 , 单 击 其 中 的 “基本 设置 ”选项 卡 , 设 
置 检测 主机 的 IP 地 址 为 127. 0. 0.1, 对 本 机 进行 扫描 ,如 图 2. 36 所 示 。 


REV SEV IAW ngae MDW 


XED 
[e oj» n =j@ja ¿ a 
普通 信息 | 漏洞 信息 | WAAR | 


-sean-r3 0 使 用 说 明 
系统 要 求 ; Nindows WT4/2000/XF/2003 


村 功能 简介 : 


采用 多 碟 程 方式 对 指定 甘地 址 入 惑 单 机 ) 进 行 实 全 泌 洞 检测 , 支持 括 件 功能 提 洪 了 图 形 界面 和 命令 
行 两 种 操作 方式 ,扫描 内 容 包括 : DIS ut. HUDEIOIE GER, GHeSacHeWB. AT SER 


MBUCTAERSEIRISRERHUR , HERRAR EOE- SUREE P , 悠 也 可 以 通过 本 站 的 “ 实 主 文 摘 ” 
Ex MILD 
.0 版 不 提供 了 简单 的 括 件 开 发 包 , 便于 有 编程 基础 的 朋友 自己 编写 或 将 其 好 调试 通过 的 代码 修改 为 X- 
ear 播 上 。 另 外 Wessns 攻 击 半 本 的 勋 译 工作 已 既 开 始 。 欢 迫 所 有 对 网 络 安全 感 兴 摊 的 朋友 参与 。 需 要 
“Wassus 攻 击 著 本 引擎 ” 沽 代码 、X-scan 扬 件 S0K， 示 他 楂 件 源 代 码 或 原意 参与 即 本 图 译 工 作 的 朋友 ， TE ej 


H 2.34 X-Scan 主 界面 


图 2.35 配置 扫描 模块 
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了 
IV 扫描 充 成 后 自动 生成 井 显示 报告 


厂 保存 主机 列表 


图 2.36 设置 对 本 机 扫描 参数 


(4) 打开 “端口 相关 设置 ”选项 卡 , 设 置 需要 扫描 的 端口 ,如 图 2. 37 所 示 。 
(5) 选择 主 界面 菜单 “工具 ”|“ 物 理 地 址 查询 ”命令 ,打开 “物理 地 址 查询 ”选项 卡 ,可 以 
对 目标 主机 进行 相关 查询 ,如 图 2. 38 所 示 。 
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图 2.37 设置 检测 端口 


EE 
物理 地 直 查 询 | corsorott | 


metang: [02120 18.22 P mana 


图 2.38 查询 目标 主机 信息 


(6) 选择 “开始 扫描 "图标, 开始 对 本 机 进行 扫描 ,如 图 2. 39 所 示 。 


EEJ 
le o|»mm|m|au ug 


T BB 127.0.0.1 üfinéows NI S 


T 2 正在 鉴别 开放 服气 
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检测 "127.0.0.1” 
[127.0.0.1]. 正在 检测 "存活 主机 ” ] 


[127. 0.0.11: 正在 检测 -远程 摊 作 系统 ”- 
[127.0.0.1]: FEER XS" 


到 
| [I ActivejVaximum host thread: 1/10, Current/Meximurm thread: 2/100, Time(s): + 7 


图 2. 39 对 本 机 进行 扫描 


SEHR) 设置 |W) 查看 J IAY Language MHD 
[e ojè ns*j|s|à à u 
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[12.0 0.1] 开放 服务 ;445/tcp 
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443/tcp - Maybe the "https" service running on 


到 


图 2.40 查看 本 机 扫描 的 漏洞 信息 


(8) 单 击 “ 扫 描 报告 ,查看 扫描 结果 ,如 图 2. 41 所 示 。 


eport Microsoft Internet Explorer. 


127.0.0.1 
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图 2. 41 查看 本 机 扫描 结果 报告 
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(9) 选择 “扫描 参数 "图标 ,打开 设置 对 话 框 ,选择 其 中 的 “基本 设置 "选项 卡 , 设 置 检测 
主机 的 IP 地 址 为 202. 120. 148. 228 ,如 图 2. 42 所 示 。 


| Eod 
aren | asea RAE 
RENIE E 
HELM: sexe. 
Foz 120.148 2:8 E32 120-163 2:8 report FIRE 


厂 AZFERENIIAE MERHER: 


E 拉 擅 达成 后 自动 生成 并 显示 报 车 


T 保存 主机 列表 


图 2.42 配置 目标 主机 扫描 信息 


(10) 单 击 * 开 始 扫描 ”图 标 , 对 网 络 目标 主机 进行 扫描 ,如 图 2. 43 所 示 。 


|6 o|» m ajaja & g 
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[202. 120. 148.228]: IEXE Ec XE HR 


| N i Aiei nost thread: 1/10, Current/Maximur thread: 1/100, Time(s): /| 


图 2.43 对 目标 主机 进行 扫描 


QD 扫描 结束 , 单 击 * 漏 洞 信息 ?查看 本 机 的 漏洞 信息 ,如 图 2. 44 所 示 。 
aD 单 击 “ 扫 描 报 告 ", 查 看 扫描 结果 .如 图 2. 45 所 示 。 


6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 实验 要 求 ,详细 观察 记录 X-Scan 的 使 用 方法 ,分 析 对 本 机 和 目标 
主机 的 扫描 结果 ,给 出 实验 报告 。 
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图 2.45 查看 目标 主机 扫描 结果 报告 


7. 实验 分 析 与 讨论 


作为 网 络 管理 员 ,应 该 如 何 利 用 网 络 扫描 技术 对 所 维护 的 系统 进行 审计 。 为 了 对 抗 网 络 
扫描 ,可 以 采取 哪些 基本 措施 。 对 于 普通 用 户 .为 保障 网 络 安全 可 以 采用 的 设置 和 工具 有 哪些 。 
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8. 注意 事项 


本 实验 中 对 目标 主机 进行 扫描 时 ,应 关闭 目标 主机 上 的 防护 软件 ,否则 扫描 可 能 会 因为 
被 拦截 而 失败 。 


2.2.6 防火 墙 的 使 用 


1. 实验 目的 


通过 实验 进一步 加 深 对 防火 墙 有 关 知 识 的 理解 ,并 掌握 个 人 防火 墙 的 安装 和 使 用 ,灵活 
运用 防火 墙 的 配置 ,保证 系统 的 安全 。 


2. 实验 原理 


天 网 防火 墙 个 人 版 是 由 天 网 安全 实验 室 研 发 制作 给 个 人 计算 机 使 用 的 网 络 安全 工具 。 
它 根据 系统 管理 者 设 定 的 安全 规则 把 守 网 络 ,提供 强大 的 访问 控制 ,应 用 选 通 、 信 息 过 滤 等 
功能 。 它 可 以 帮助 抵挡 网 络 入 侵 和 攻击 ,防止 信息 泄露 ,保障 用 户 机 器 的 网 络 安全 。 天 网 防 
火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 以 针对 来 自 不 同 网 络 的 信息 ,设置 不 同 的 安全 方案 , 适 
合 于 任何 方式 连接 上 网 的 个 人 用 户 。 


3. 实验 环境 

运行 Windows 2000 的 主机 一 台 
4. 实验 内 容 

COD. 安装 天 网 个 人 防火 墙 ; 

(2) 配置 并 使 用 天 网 个 人 防火 墙 。 
5. 实验 步骤 


(1) 单 击 天 网 个 人 防火 墙 安装 程序 ,按照 提示 进行 安装 ,如 图 2. 46 所 示 。 
E 


0.0.10:0 安装 
E dm ca E 
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2.46 安装 天 网 个 人 防火 墙 


(2) 完成 安装 后 ,按照 提示 对 系统 进行 初步 设置 ,如 图 2. 47 和 图 2. 48 所 示 o 
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图 2.47 设置 系统 安全 级 别 
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图 2.48 设置 防火 墙 开机 启动 方式 


(3) 重启 系统 运行 防火 墙 程序 。 
(4) 在 主 界面 中 重新 对 系统 的 安全 级 别 进行 设置 .如 图 2. 49 所 示 。 


(5) 单 击 * 自 定义 ?图标 ,选中 窗口 中 某 项 IP 规则 打开 设置 对 话 框 ,可 以 对 该 规则 进行 
详细 设置 ,如 图 2. 50 和 图 2. 51 所 示 。 
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Egara? 


图 2.49 设置 系统 安全 级 别 


图 2.50 自 定义 IP 规则 图 2.51 修改 IP 规则 


(6) 选择 应 用 程序 规则 ?图标 ,选中 窗口 中 某 项 应 用 程序 打开 设置 对 话 框 , 对 系统 中 应 
用 程序 访问 网 络 权 限 进行 设置 ,如 图 2. 52 和 图 2. 53 所 示 。 
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mm 
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| 


图 2.52 设置 应 用 程序 访问 网 络 权限 图 2.53 设置 详细 应 用 程序 规则 
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CD 选择 “系统 设置 "图标 ,打开 配置 窗口 ,在 “基本 设置 "选项 卡 中 ,选中 “开机 后 自动 启 
动 防火 墙 ? 复 选 框 , 如 图 2. 54 Bron. 
(8) 打开 “管理 权限 设置 ?选项 卡 ,设置 管理 员 密码 ,如 图 2. 55 和 图 2. 56 所 示 。 


SEE e? JETE 


图 2.54 系统 基本 设置 图 2.55 设置 管理 权限 


(9) 打开 * 日 志 管 理 ? 选 项 卡 , 设 置 日 志保 存 方式 ,如 图 2. 57 所 示 。 


图 2.56 设置 管理 员 密码 图 2.57 设置 防火 墙 日 志 属 性 


(10) 打开 * 人 侵 检 测 设置 选项 卡 ,设置 人 侵 检 测 功能 ,如 图 2. 58 所 示 。 
AD 单 击 * 应 用 程序 网 络 使 用 情况 图标, 查看 系统 相关 网 络 应 用 程序 使 用 网 络 端口 的 
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情况 ,如 图 2.59 所 示 。 


EEUESICYERTEA^ € 


EUM: BEN 


2.58 设置 人 侵 检测 功能 图 2. 59 查看 应 用 程序 使 用 端口 情况 


(12) 选择 “日 志 ” 图 标 ,查看 详细 防火 墙 日 志 记录 ,如 图 2. 60 所 示 。 


EE TE EER 


图 2.60 查看 防火 墙 日 志 


6. 实验 报告 与 要 求 


根据 上 面 介 绍 的 各 项 实验 要 求 ,详细 观察 记录 防火 墙 配置 前 后 的 变化 ,两 人 一 组 考察 防 
火 墙 设置 对 网 络 访问 的 影响 ,给 出 分 析 报告 。 
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7. 实验 分 析 与 讨论 
查阅 资料 ,了 解 个 人 防火 墙 和 企业 级 防火 墙 的 区 别 。 
8. 注意 事项 


(1) 设置 系统 安全 级 别 , 如 果 选 中 “ 低 ”“ 中 ”“ 高 ”等 级 别 , 系 统 会 自动 完成 对 IP 规则 
的 设置 ,如 果 选 中 “ 自 定义 ”, 可 以 根据 系统 需要 自行 定义 IP 规则 。 

(2) 进行 安全 设置 时 ,大 多 数 命令 可 以 通过 单 击 主 界面 上 的 图 标 实现 ,也 可 以 通过 右 击 
桌面 右 下 角 的 天 网 防火 墙 图 标 , 选 中 相应 菜单 选项 来 打开 设置 功能 。 
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3.1 实验 基础 


3.1.1 计算 机 病毒 概述 


计算 机 病毒 是 一 种 人 为 制造 的 .侵入 计算 机 系统 、 寄 生 于 应 用 程序 或 系统 可 执行 部 分 ， 
并 可 以 自我 复制 \ 传 播 , 具 有 激活 性 、 攻 击 性 的 程序 代码 。 病 毒 是 计算 机 技术 发 展 的 必然 产 
物 。 病 毒 大 多 不 以 文件 形式 存在 ,寄生 在 合法 程序 上 ,可 以 是 引导 程序 、 可 执行 程序 、Word 
文档 等 。 

病毒 的 发 展 速度 非常 迅速 。1980 年 IBM PC 成 为 主流 ,其 自身 和 DOS 的 弱点 给 病毒 
攻击 造成 可 乘 之 机 。1987 年 ,实战 病毒 Brain 出 现 。1988 年 底 , 首 例 在 我 国 国 家 统计 部 门 
发 现 小 球 病毒 感染 。1992 年 .多 态 型 病毒 出 现 。1995 年 ,出 现 能 够 变换 自身 代码 的 变形 病 
毒 。 据 统计 ,1989 年 1 月 计算 机 病毒 种 类 不 过 100 种 ,1990 年 1 月 已 超过 150 种 ,1990 年 
12 月 超过 260 种 ,目前 计算 机 病毒 总 数 超 过 6 万 ,并 以 每 天 超过 200 个 的 速度 诞生 。 

病毒 有 多 种 分 类 方法 。 按 照 传染 目标 可 以 分 为 引导 型 .文件 型 混合 型 。 按 照 破坏 性 可 
以 分 为 良性 病毒 和 恶性 病毒 。 

病毒 具有 如 下 特征 : 刻意 编写 人 为 破坏 、 主 动 传染 性 、 自 我 复制 .扩散 传播 .隐藏 性 、 可 
激活 性 、 不 可 预见 性 。 

计算 机 病毒 可 以 通过 不 可 移动 的 计算 机 硬件 设备 移动 存储 设备 .计算 机 网 络 、 点 对 点 
通信 系统 和 无 线 通信 系统 等 多 种 途径 进行 传播 。 

计算 机 病毒 程序 是 为 了 特殊 目的 而 编制 的 , 它 通 过 修改 其 他 程序 而 把 自己 复制 进去 ,并 
且 传 染 该 程序 。 一 般 来 说 ,计算 机 病毒 程序 包括 三 个 功能 模块 : 引导 模块 .传染 模块 和 破坏 
模块 。 这 些 模 块 功能 独立 ,同时 又 相互 关联 ,构成 病毒 程序 的 整体 。 

引导 模块 的 功能 是 借助 宿主 程序 ,将 病毒 程序 从 外 存 引 进 内 存 , 以 便 使 传染 模块 和 破坏 
模块 进入 活动 状态 。 另 外 ,引导 模块 还 可 以 将 分 别 存放 的 病毒 程序 链接 在 一 起 ,重新 进行 装 
配 ,形成 新 的 病毒 程序 ,破坏 计算 机 系统 。 传 染 模块 的 功能 是 将 病毒 迅速 传染 , 尽 可 能 扩大 
染 毒 范围 。 病 毒 的 传染 模块 由 两 部 分 组 成 : 条 件 判断 部 分 和 程序 主体 部 分 ,前 者 负责 判断 
传染 条 件 是 否 成 立 ,后 者 负责 将 病毒 程序 与 宿主 程序 链接 ,完成 传染 病毒 的 工作 。 病 毒 编制 
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者 的 意图 ,就 是 攻击 破坏 计算 机 系统 ,所 以 破坏 模块 是 病毒 程序 的 核心 部 分 。 破 坏 模块 在 进 
行 各 种 攻击 之 前 ,首先 判断 破坏 条 件 是 否 成 立 , 只 有 条 件 全 部 满足 时 ,破坏 模块 才 开 始 其 破 
坏 活动 。 

现代 计算 机 病毒 具有 以 下 流行 特征 : 

(1) 攻击 对 象 趋 于 混合 型 ; 

(2) 同时 感染 系统 引导 区 和 可 执行 文件 ; 

(D 采用 反 跟 踪 技 术 ; 

CA) 增强 隐蔽 性 ; 

(5) 避 开 修改 中 断 向 量 值 ,直接 修改 中 断 服务 子 程序 ; 

(6) 请 求 在 内 存 中 的 合法 身份 .通过 正常 的 内 存 申 请 进行 合法 驻 留 ; 

(7) 维持 宿主 程序 的 外 部 特性 ,如 控制 文件 显示 属性 或 针对 系统 引导 区 的 读 操作 提供 
正确 内 容 给 用 户 ; 

(8) 不 使 用 明显 的 感染 标志 ,使 被 感染 文件 的 标志 复杂 化 ,难以 识别 ; 

(9) 病毒 体 繁衍 不 同 变种 。 

目前 杀毒 软件 中 采用 的 技术 主要 有 以 下 几 种 : 

CD 病毒 扫描 程序 : 在 文件 和 引导 记录 中 搜索 病毒 的 程序 。 只 能 检测 出 它 已 经 知道 的 
病毒 。 操 作 简 单 , 耗 时 ,适用 于 简单 病毒 。 

(2) 内 存 扫描 程序 : 扫描 内 存 以 搜索 内 存 驻 留 文件 和 引导 记录 中 的 病毒 。 发 现 后 用 一 
块 未 感染 的 软盘 引导 启动 ,病毒 即 被 从 内 存 清除 。 

(3) 完整 性 检查 程序 : 计算 机 在 未 感染 状态 ,取得 每 个 可 执行 文件 和 引导 记录 的 信息 
指纹 ,存放 于 硬盘 的 数据 库 中 ,用 于 验证 原来 记录 的 完整 性 。 缺 点 是 对 已 经 被 病毒 感染 的 系 
统 再 使 用 这 种 方法 ,可 能 遭 到 蒙骗 ,不 能 对 新 文件 进行 有 效 的 检查 。 

(4) 行为 监视 器 : 内 存 驻 留 程序 ,实时 监测 病毒 和 其 他 有 恶意 的 损害 活动 并 通知 用 户 。 
可 以 防止 新 的 .未知 的 病毒 在 计算 机 上 传播 。 可 能 会 影响 一 些 活 动 与 病毒 相像 的 合法 程序 。 
不 需要 进行 频繁 的 更 新 以 保持 有 效 。 其 缺点 是 无 法 监测 出 慢性 病毒 ,因为 这 种 病毒 感染 时 
不 会 主动 调用 系统 服务 。 行 为 监视 程序 可 以 监测 到 的 病毒 种 类 有 特定 性 。 只 有 在 病毒 开始 
作用 时 ,行为 监视 程序 才能 够 监测 病毒 。 


3.1.2 计算 机 病毒 防治 概述 


防治 计算 机 病毒 应 重 在 预防 。 一 方面 在 思想 上 重视 ,管理 上 到 位 ; 另 一 方面 依靠 防 杀 
计算 机 病毒 软件 。 计 算 机 病毒 防治 根本 在 于 完善 操作 系统 的 安全 机 制 。 

单机 用 户 进行 病毒 防范 的 简单 有 效 的 方法 是 选择 一 个 功能 完善 的 单机 版 计算 机 病毒 软 
件 , 该 软件 应 能 满足 : 

* 拥有 计算 机 病毒 检测 扫描 器 ; 

”实时 监控 程序 ; 
未 知 计 算 机 病毒 的 检测 ; 
压缩 文件 内 部 检测 ; 
文件 下 载 监视 ; 
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。 计算 机 病毒 清除 ; 

。 计算 机 病毒 特征 代码 库 升 级 ; 

。 重要 数据 备份 ; 

。 定时 扫描 设 定 ; 

。 支持 FAT32 fll NTFS 等 多 种 分 区 格式 ; 

。 关机 时 检查 软盘 ; 

。 计算 机 病毒 检测 率 较 高 。 

个 人 用 户 还 可 以 从 以 下 方面 进行 病毒 防护 工作 : 

。 检查 BIOS 设置 ,将 引导 次 序 改 为 硬盘 先 启 动 ; 

。 安装 较 新 的 正式 版 本 的 防 杀 计算 机 病毒 软件 并 经 常 升级 ; 

。 经 常 更 新 计算 机 病毒 特征 代码 库 ; 

。 备份 系统 中 重要 的 数据 和 文件 ; 

。 在 Word 中 ,打开 “提示 保存 Normal 模板 ”, 将 Normal. dot 文件 的 属性 改 为 只 读 ; 
* 对 外 来 的 光盘 、 软 盘 和 下 载 的 软件 都 应 该 先进 行 查 杀 病毒 再 使 用 ; 
。 启用 防 杀 病毒 软件 的 实时 监控 功能 。 


3.2 实验 项 目 


3.2.1 RARS 


1. 实验 目的 
理解 宏 病毒 的 概念 、. 病 毒 机 制 、 传 播 手段 以 及 预防 措施 。 
2. 实验 原理 


宏 (Macro) 是 微软 公司 出 品 的 Office 软件 包 中 所 包含 的 一 项 特殊 功能 。 微 软 公司 设计 
此 项 功能 的 主要 目的 是 给 用 户 自动 执行 一 些 重复 性 的 工作 提供 方便 。 它 利用 简单 的 语法 ， 
把 常用 的 动作 写成 宏 , 用 户 工 作 时 就 可 以 直接 利用 事先 编写 好 的 宏 自 动 运 行 , 以 完成 某 项 特 
定 的 任务 ,而 不 必 反 复 重 复 相 同 的 工作 。 微 软 的 Word Visual Basic for Applications(VBA) 
是 宏 语 言 的 标准 。 宏 病毒 正 是 利用 Word VBA 编写 的 一 些 宏 ,是 一 种 寄存 在 文档 或 模板 中 
的 计算 机 病毒 。 一 旦 打开 含有 宏 病毒 的 文档 ,其 中 的 宏 就 会 执行 , 宏 病 毒 被 激活 ,转移 到 计 
算 机 中 并 驻 留 在 Normal 模板 上 。 以 后 所 有 自动 保存 的 文档 都 会 感染 上 这 种 宏 病 毒 。 

预防 宏 病毒 有 以 下 几 种 基本 的 方法 。 

CD 防止 执行 自动 宏 : 可 以 通过 在 DOS 提示 符 下 输入 指令 “WinWord. exe/m 
DisableAutoMacro” 来 防止 打开 Word 文档 时 执行 自动 安 。 另 外 ,在 打开 或 关闭 文档 时 按 下 
Shift 键 可 以 使 文档 不 执行 任何 自动 宏 。 

(2) 保护 Normal 模板 : 可 以 采取 以 下 几 种 方法 对 Normal 模板 进行 保护 。 提 示 保 存 
Normal 模板 ; 设置 Normal 模板 的 只 读 属性 ; 设置 密码 保护 ; 设置 安全 级 别 ; 按照 自己 的 
习惯 设置 Normal 模板 并 进行 备份 . 当 被 病毒 感染 时 ,使 用 备份 模板 覆盖 当前 模板 。 
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(3) 使 用 DisableAutoMacro 功能 。 
3. 实验 环境 


运行 Windows 操作 系统 的 主机 ,安装 Windows Office 软件 和 Windows Visual Studio 


或 者 Windows Visual Studio. Net 编程 环境 。 


4. 实验 内 容 


(1) 手工 创建 一 个 DOC 文档 ,在 该 文档 的 工程 下 增加 一 个 宏 病毒 模块 VBS。 

(2) 观察 执行 下 述 动 作 后 .哪些 Word 中 已 经 存在 VBS: 

CD 新建 一 个 文档 ,随机 输入 若干 字符 ,然后 关闭 。 

© 打开 一 个 已 经 存在 的 文档 ,编辑 若干 字符 ,然后 关闭 。 

O 把 上 述 两 个 文档 复制 到 一 个 移动 存储 设备 上 ,然后 到 另 一 台 主 机 上 去 打开 它们 , 然 


后 关闭 。 
(3) 按照 宏 病 毒 的 预防 方法 配置 主机 ,防范 宏 病 毒 攻 击 。 
5. 实验 步骤 
COD 打开 菜单 项 “工具 "| * 宏 ”| 录制 新 安 ”, 为 文档 添加 新 宏 , 如 图 3. 1 所 示 。 
(2) 打开 菜单 项 “工具 ”|* 宏 ”|* 宏 ”, 观 察 文档 中 包含 的 宏 ,如 图 3. 2 所 示 。 
°K 一 
ZZW: 
E: El imc) 
E E PEPATE 
KEREK 38 C5) 
Zi gese Cm | 
HERTE: mo | 
PAAIE Norns dot) 到 了 可 smo. | 
für m n FRR zl cce | 
TOT H weihonenir ERE 
Cm] - jJ [b 
图 3.1 为 文档 添加 新 宏 图 3.2 查看 文档 中 包含 的 宏 


(3) 打开 “工具 ”1“ 选 项 ”|“ 安 全 性 ”, 对 它 的 属性 进行 安全 设置 ,如 图 3. 3 和 图 3.4 所 示 。 
(4) 在 Normal. dot 中 增加 AutoExec 自动 宏 , 使 用 DisableAutoMacro Zi : 


Sub AutoExec() 
WordBasic.DisableAutoMacros True 
End Sub 


6. 实验 报告 与 要 求 
根据 上 面 介绍 的 各 项 实验 要 求 ,详细 观察 记录 宏 病毒 执行 感染 前 后 的 变化 ,给 出 分 析 
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fv 存 佬 用 于 增强 合并 精确 性 邮 随 机 编号 IT) 
TV 打开 或 保存 时 标记 可 见 O 
富安 全 性 
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图 3.3 设置 安安 全 性 


7. 实验 分 析 与 讨论 


EEC è ë 
(ERE | mies | 
天 mnm. remm 


[3 e 只 人 允 洗 运行 可 靠 来 涯 签署 的 完 ， 示 经 签署 的 宏 会 自动 职 消 


C rp. 您 可 以 选择 是 再 运行 可 能 不 实 全 的 定 U). 


—ma | 
图 3.4 设置 宏 安全 级 别 


脚本 病毒 的 病毒 原理 ,传播 机 制 与 宏 病毒 比较 有 何 异 同 , 如 何 进行 防范 。 


8. 注意 事项 


禁止 所 有 宏 的 执行 可 以 从 根本 上 防治 宏 病 毒 ,但 这 是 不 现实 的 ,因为 用 户 有 时 需要 使 用 
自己 编制 的 一 些 宏 。 禁 止 自动 宏 的 执行 ,可 以 保证 用 户 在 安全 启动 Word 文档 后 ,进行 必要 


的 宏 病 毒 检 查 , 从 而 达到 防治 宏 病 毒 的 目的 。 


3.2.2 防 病毒 软件 使 用 


1. 实验 目的 


了 解 防 病毒 软件 基本 工作 原理 ,掌握 防 病毒 软件 配置 和 使 用 方法 。 


2. 实验 原理 


目前 大 多 数 防毒 软件 都 提供 了 丰富 的 安全 功能 .不 同 的 产品 功能 会 有 所 不 同 。 用 户 安 
装 好 防毒 软件 后 ,应 了 解 其 详细 的 使 用 方法 ,对 其 进行 适当 的 设置 ,使 之 充分 发 挥 作用 ,更 好 


地 满足 个 人 的 安全 需求 。 
3. 实验 环境 


运行 Windows 操作 系统 的 主机 ,安装 McAfee 的 VirusScan 反 病 毒 软件 。 
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4. 实验 内 容 


(1) 启用 各 监控 模块 ; 

(2) 启用 访问 控制 ; 

(3) 更 新 病毒 库 并 设置 自动 更 新 计划 ; 

(4) 对 磁盘 进行 病毒 扫描 。 

5. 实验 步骤 

A) 打开 *VirusScan 控制 台 ? 对 话 框 , 对 访问 保护 、 缓 冲 区 溢出 保护 .电子 邮件 扫描 等 功 
能 进行 启用 ,并 打开 各 属性 页 进行 设置 ,如 图 3. 5 一 图 3. 10 所 示 。 


(s Virusscan 控制 全 =l0 x} 


ESA MO 查看 (CO TRO) MD 


äle |a| alaiz] £4 alsel 


已 定义 6 条 应 口 阻 挡 规 则 ， 共享 阻挡 已 禁用 。 已 定义 … 
已 局 用 

已 启用 

已 打开 7 种 有 害 程 序 类 别 。 未 定义 任何 用 户 定义 检测 。 
已 局 用 

未 计划 EAR, a 


SEX, 12:00 更 新 成 功 
到 
IE Fett CERA PA 
图 3.5 对 防 病毒 软件 各 功能 进行 启用 设置 
axi EIE 
端口 阻 的 | ee. HERBAR | R | ROMA XM SOT TERN Jig | 
a. NIMM EB E a. BEI ERU uA. 写 入 或 执 
jeg Hs c ges TM 
C 将 所 有 共享 资源 设置 为 只 读 C. 
C 阻挡 对 所 有 共享 资源 的 款 写 访问 QD. 


REE SM, ETF E 
e RIEUT 


UBIROTMERITEE Q0: 


口 禁 止 从 五 闪 网 上 下 载 
口 茜 止 FTF 入 站 通讯 (阻止 诸如 Nimda APARE... 


Edi Internet Explorer 从 Temp 文件 恬 局 动 任 癌 项 目 
EE Internet Explorer 从 Downloaded Programs 3f. 
BAFIL Outlook 从 Tem? 文件 去 启动 性向 项 目 

EJIE Outlook Express 从 Teu; 辫 件 来 情 动 任何 项 目 
EIIE Packager 从 Tenp 文件 来 启动 任何 项 目 


口 茜 止 FrF 出 站 通讯 ( 阻止 病毒 下 戟 文件》 


图 3.6 设置 访问 保护 功能 的 端口 阻挡 属性 图 3.7 设置 访问 文件 安全 属性 
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SARPE 


E 妇 冲 区 送出 保护 尾 性 


图 3.8 设置 访问 日 志保 护 属性 图 3.9 设置 缓冲 区 溢出 保护 属性 


(2)“ 按 访问 扫描 ?是 一 种 实时 保护 模块 ,用 户 应 将 其 开启 。 可 以 在 控制 台 窗 口 选 中 该 
模块 右键 选择 “开启 ”选项 ,或 者 右 击 桌面 右 下 角 VirusScan 图 标 , 进行 设置 ,如 图 3. 11 和 
图 3. 12 所 示 。 


[IET ES 
EAE 
E 


图 3.10 设置 电子 邮件 扫描 属性 图 3.11 设置 按 访问 扫描 属性 


(3) 打开 AutoUpdate 属性 窗口 . 单 击 “ 立 即 更 新 ”按钮 ,对 杀毒 软件 和 病毒 库 同时 进行 
在 线 更 新 , 单 击 * 计 划 ? 按 钮 ,可 以 制订 更 新 计划 ,如 图 3. 13 一 图 3. 15 所 示 。 
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usscan AutoUpdate 属性 - AutoUpdate 


图 3.12 设置 按 访问 扫描 计划 图 3.13 设置 自动 更 新 功能 


图 3.14 设置 自动 更 新 计划 


CD 在 控制 窗口 中 打开 ,或 右 击 桌 面 右 下 角 VirusScan 图 标 ,选择 “ 按 需 扫描 …” 选 项 ， 
进行 打开 设置 ,如 图 3. 16 和 图 3. 17 所 示 。 


6. 实验 报告 与 要 求 


根据 上 面 介 绍 的 各 项 实验 要 求 , 使 用 杀毒 软件 对 机 器 进行 病毒 查 杀 ,详细 观察 记录 执行 
结果 ,评价 该 杀毒 软件 的 优 缺点 ,提交 分 析 报 告 。 
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McAfee AutoUpdate 


图 3.15 系统 进行 自动 更 新 


ELTALG T] 


图 3.16 启动 按 需 扫描 功能 


图 3. 17 对 系统 进行 扫描 
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7. 实验 分 析 与 讨论 


作为 个 人 用 户 ,除了 使 用 防 病毒 软件 ,还 应 该 采取 哪些 措施 来 防范 病毒 。 市 场 上 国内 外 
商品 化 防毒 软件 很 多 ,各 种 产品 分 别 具 有 哪些 特点 ,应 该 如 何 根据 用 户 需要 进行 选择 。 

8. 注意 事项 

不 同类 型 的 防毒 软件 操作 界面 和 使 用 方法 都 有 不 同 , 但 核心 功能 是 基本 一 致 的 。 用 户 
在 使 用 不 同 的 防毒 软件 时 ,可 以 首先 从 本 实验 提出 的 几 个 方面 进行 基本 设置 ,同时 考虑 自己 
的 需求 对 辅助 功能 模块 进行 选用 。 


4.1.1 鉴别 与 认证 


鉴别 与 认证 用 于 保证 报 文 的 完整 性 和 不 可 否认 性 ,分 别 可 以 通过 报 文 鉴别 和 数字 签名 
技术 来 实现 。 

报 文 鉴别 通过 鉴别 函数 实现 。 鉴 别 函 数 用 于 产生 可 以 鉴别 一 个 报 文 的 值 的 鉴别 符 , 有 
报 文 加密 、 报 文 鉴别 码 和 散 列 函数 三 种 形式 。 报 文 鉴别 的 基本 工作 原理 为 : 假设 通信 双方 
A 和 BB 共享 一 个 密 钥 KK; 当 A 要 发 送 报 文 到 B 时 , 先 利用 密 钥 K 计算 MAC. 然 后 将 报 文 加 
上 MAC 发 给 B; B 用 相同 的 密 钥 对 收 到 的 报 文 执行 相同 的 计算 可 以 得 到 新 的 MAC ,并 与 
收 到 的 MAC 比较 ; 如 果 B 计 算出 的 MAC 与 收 到 的 MAC 不 同 , 则 B 知道 攻击 者 已 经 更 改 
了 报 文 而 未 更 改 MAC( 攻 击 者 不 知 密 钥 ); 如 果 B 计 算出 的 MAC 与 收 到 的 MAC 相同 , 则 
B 可 以 确定 报 文 来 自 A 并 且 没 有 被 更 改 。 

数字 签名 可 以 同时 鉴别 报 文 内 容 和 发 送 方 、 接 收 方 身份 。 因 此 数字 签名 可 以 用 来 防止 
伪造 、 算 改 信息 或 冒 用 别人 名 义 发 送信 息 ,或 发 出 ( 收 到 ) 信 息 后 又 加 以 否认 等 情况 发 生 。 为 
了 达到 这 个 目的 ,数字 签名 必须 具有 如 下 性 质 : 

(1) 签名 必须 用 可 确定 签名 者 的 唯一 信息 ,如 签名 者 和 签名 时 间 可 以 证 实 ; 

(2) 签名 之 前 必须 能 够 鉴别 报 文 的 内 容 ; 

(3) 能 被 第 三 方 验证 以 解决 争端 。 

数字 签名 有 多 种 分 类 方式 : 按照 数字 签名 的 实现 可 分 为 直接 和 需 仲裁 的 数字 签名 ; 按 
照 签名 用 户 可 分 为 单个 用 户 签名 和 多 个 用 户 签名 等 。 

(1) 直接 数字 签名 : 只 涉及 通信 双方 。 发 送 方 用 自己 的 私 钥 加 密 整 个 报 文 ,或 加 密 报 
文 的 MAC 值 对 报 文 签名 ; 签名 后 ,对 整个 报 文 和 签名 用 接收 方 的 公 钥 ( 非 对 称 加 密 ) 或 用 
双方 共享 的 密 钥 (对 称 加 密 ) 再 次 进行 加 密 , 从 而 可 以 在 提供 签名 的 同时 保证 通信 的 机 密 性 。 
直接 数字 签名 存在 的 问题 : 有 效 性 依赖 于 发 送 方 私 钥 的 安全 性 。 发 送 方 可 能 在 发 送 消息 
后 ,声称 其 私 钥 被 盗 , 进 行 发 送行 为 的 抵赖 。 

(2) 需 仲裁 的 数字 签名 : 可 以 解决 直接 数字 签名 存在 的 问题 。A 发 给 B 的 签名 报 文 
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(用 A 和 T 的 会 话 密 钥 对 签名 加 密 ) 首 先 送 到 仲裁 者 工 处 ,由 工 对 报 文 及 A 的 签名 进行 验 
证 。 然 后 工 注 明报 文 日 期 ,加 上 一 个 报 文 已 经 过 仲裁 且 属 实 的 说 明 后 发 给 B。 这 样 ,A 就 不 
能 否认 发 送 过 该 报 文 。 关 键 是 通信 方 必须 充分 信任 仲裁 。 

需 仲裁 的 数字 签名 既 可 以 通过 对 称 加 密 技术 实现 ,也 可 以 通过 公开 密 钥 技术 实现 。 

对 称 密 钥 技术 实现 需 仲裁 的 数字 签名 有 两 种 方案 。 方 案 一 : 仲裁 工 能 看 到 发 送 的 报 
文 。 发 送 方 A 与 仲裁 共享 一 个 密 钥 Kar ,接收 方 B 与 工 共享 一 个 密 钥 Kar 。 方 案 二 : M 
裁 工 不 能 看 到 发 送 的 报 文 。 除 了 Karl Kar ,发 送 方 A 与 接收 方 B 还 共享 一 个 密 钥 Kass 

采用 对 称 加 密 技术 实现 需 仲 裁 的 数字 签名 存在 的 问题 为 : 仲裁 可 以 和 发 送 方 联合 否认 
一 个 签名 的 报 文 , 或 者 和 接收 方 联合 起 来 伪造 发 送 方 的 签名 。 非 对 称 加 密 技术 由 于 通信 前 
各 方 没有 共享 任何 信息 ,从 而 可 以 防止 发 生 联合 欺骗 。 

公开 密 钥 技术 实现 需 仲裁 的 数字 签名 的 过 程 为 : 

A) A 对 报 文 M 进行 两 次 加 密 , 先 用 私 钥 Kra ,再 用 B 的 公 钥 Kus ,得 到 一 个 有 签名 的 
机 密 报 文 ; 

(2) 再 用 Kr 加 密 IDA 和 签名 的 报 文 ,连同 IDA 发 给 Ts 

(3) 全能 对 外 层 加 密 进行 解密 ,确信 报 文 一 定 来 自 A. 但 工 不 能 解密 内 部 经 双重 加 密 的 
报 文 ; 

(4) 工 给 加 密 报 文 加 上 时 间 戳 ,并 用 自己 私 钥 加 密 , 然 后 发 送 给 B; 

(5) 了 用工 公 钥 解 密 , 得 到 ID、 双重 加 密 的 报 文 和 时 间 戳 ,再 用 也 私 铀 和 A 公 钥 恢复 
报 文 M。 

为 了 满足 特殊 领域 的 应 用 需要 ,一 些 专用 数字 签名 方案 被 提出 ,如 带 有 时 间 戳 的 签名 方 
案 . 盲 签名 方案 .代理 签名 .团体 签名 .不 可 争辩 签名 方案 .指定 的 确认 者 签名 等 。 

凡是 需要 对 用 户 的 身份 进行 判断 的 情况 都 可 以 使 用 数字 签名 ,如 加 密 信件 、 商 务 信和 所、 
订货 购买 商品 、 远 程 金 融 交易 、 自 动 模式 处 理 等 。 


4.1.2 公 钥 基础 设施 


公 钥 基础 设施 (Public Key Infrastructure. PKI) 是 利用 公 钥 理论 和 技术 建立 的 提供 信 
息 安 全 服务 的 基础 设施 。 公 钼 体制 是 目前 应 用 最 广泛 的 一 种 加 密 体制 ,可 以 提供 网 络 中 信 
息 安全 的 全 面 解决 方案 。 采 用 公 钥 技术 的 关键 是 如 何 确认 某 个 人 真正 的 公 钥 。 在 PKI 中 ， 
通过 认证 中 心 CA 和 “数字 证 书 ” 来 确认 声称 拥有 公共 密 钥 的 人 的 真正 身份 。 

数字 证 书 是 一 个 经 证 书 认证 中 心 CA 数字 签名 的 包含 公开 密 钥 拥有 者 信息 以 及 公开 密 
钥 的 文件 。 认 证 中 心 作为 权威 的 、 可 信赖 的 、 公 正 的 第 三 方 机 构 , 专 门 负 责 为 各 种 认证 需求 
提供 数字 证 书 服务 。 认 证 中 心 颁发 的 数字 证 书 均 遵循 X. 509 v3 标准 ,X. 509 标准 在 编排 公 
共 密 钥 密 码 格式 方面 已 被 广泛 接受 。X. 509 证 书 已 被 应 用 于 许多 网 络 安 全 协议 ,其 中 包括 
IPSec, SSL, SET 、S/MIME。 

数字 证 书 的 格式 在 ITU( 国 际 电 信 联 盟 ) 制 定 的 X. 509 v3 里 定义 ,其 中 包括 证 书 申请 
者 的 信息 和 发 放 证 书 CA 的 信息 。 

CA 的 信息 包含 发 行 证 书 CA 的 签名 和 用 来 生成 数字 签名 的 签名 算法 ,任何 人 收 到 证 
书后 都 能 使 用 签名 算法 来 验证 证 书 是 否 是 由 CA 的 签名 密 钥 签发 的 。 任 何 想 发 放 自 己 公 钥 
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的 用 户 , 可 以 去 认证 中 心 申 请 自己 的 证 书 。CA 中 心 在 认证 该 人 的 真实 身份 后 ,颁发 包含 用 
户 公 钥 的 数字 证 书 。 其 他 用 户 只 要 能 验证 证 书 是 真实 的 ,并 且 信任 颁发 证 书 的 CA, 就 可 以 
确认 用 户 的 公 钥 。 

PKI 是 一 种 遵循 标准 的 密 钥 管理 平台 , 它 能 够 为 所 有 网 络 应 用 透明 地 提供 采用 加 密 和 
数字 签名 等 密码 服务 所 必需 的 密 钥 和 证 书 管理 。PKI 必须 具有 的 基本 成 分 包括 : 认证 机 关 
(CAO .证 书库 、 密 钥 备 份 及 恢复 系统 .证书 作废 处 理 系统 .PKI 应 用 接口 系统 等 。 

目前 世界 上 最 权威 的 认证 机 构 是 美国 的 VeriSign 公司 。VeriSign 成 立 于 1995 年 4 月 ， 
是 全 球 数字 信任 服务 的 主要 提供 商 。 它 提供 四 种 核心 服务 : 网 络 服务 .安全 服务 、 支 持 服务 
以 及 电子 交流 服务 ,目的 是 创造 一 个 诚信 的 环境 ,让 企业 和 用 户 能 够 互相 信任 地 进行 商业 往 
来 和 交流 。 世 界 500 强 企业 全 都 在 使 用 VeriSign 的 网 络 服务 。 国 内 的 CA 大 致 可 以 分 为 
大 行业 或 政府 部 门 建立 的 CA、 地 方 政府 授权 建立 的 CA 和 商业 性 CA 三 类 。 目 前 国内 的 
CA 已 经 不 是 简单 地 提供 证 书 , 而 是 更 多 地 开始 为 客户 提供 不 同 领 域 的 解决 方案 ,以 及 开发 
一 些 相关 的 安全 系统 。 在 技术 上 ,也 考虑 采用 了 与 国际 标准 相同 的 结构 。 此 外 ,针对 大 家 普 
遍 关心 的 CA 互通 问题 ,也 建立 了 一 些 有 一 定 规模 的 CA 联合 体 。 


4.1.3 电子 商务 安全 协议 


常用 的 电子 商务 安全 协议 有 电子 邮件 安全 协议 .电子 商务 交易 安全 协议 (如 SSL 和 
SET) 等 。 


1. 电子 邮件 安全 协议 


在 电子 邮件 安全 中 需要 解决 的 问题 有 如 下 几 方 面 。 

(1) 发 送 者 身份 认证 : 如 何 证 明 电 子 邮 件 内 容 的 发 送 者 就 是 电子 邮件 中 所 声称 的 发 
送 者 ; 

(2) 不 可 否认: 一 旦 发 送 了 某 封 邮件 ,发 送 者 就 无 法 否认 这 封 邮件 是 他 发 送 的 ; 

C» 邮件 的 完整 性 : 保证 电子 邮件 的 内 容 不 被 破坏 和 算 改 ; 

CD 邮件 的 保密 性 : 防止 电子 邮件 内 容 的 泄漏 。 

通过 采用 安全 电子 邮件 标准 ,配合 传输 层 安全 技术 和 邮件 服务 器 的 安全 技术 可 以 有 效 
解决 以 上 问题 。 目 前 有 两 套 成 型 的 端 到 端的 安全 电子 邮件 标准 : PGP 和 S/MIME。 

完善 保密 (Pretty Good Privacy,PGP) .最 早 版 本 于 1991 年 发 布 ,已 在 世界 范围 广泛 使 
用 ,是 目前 最 流行 的 电子 邮件 安全 程序 之 一 。PGP 可 以 在 多 种 硬件 平台 上 使 用 , 它 的 使 用 
相对 比较 容易 。PGP 可 为 电子 邮件 提供 多 种 安全 功能 ,如 保密 性 、 信 息 来 源 证 明 、 信 息 完整 
性 、 信 息 来 源 的 无 法 否认 性 等 。 

PGP 中 公 钥 本 身 的 权威 性 可 以 由 第 三 方 ,特别 是 收 信人 所 熟悉 或 信任 的 第 三 方 进行 签 
名 认证 ,没有 统一 的 集中 的 机 构 进行 公 钥 / 私 钥 的 签发 。 在 PGP 体系 中 .任意 两 方 之 间 都 是 
对 等 的 ,整个 信任 关系 构成 网 状 结构 , 即 所 谓 的 Web of Trust, 而 且 它 工作 时 不 需要 有 复杂 
的 基础 结构 。 比 如 A 作为 一 个 PGP 用 户 , 要 对 她 知道 是 真实 的 钥匙 给 予 证 明 。 这 些 钥 匙 
可 以 是 她 朋友 的 ,同事 的 ,或 者 她 的 亲戚 的 。 在 这 些 情况 下 ,她 可 以 起 一 个 公证 人 的 作用 ,在 
她 知道 是 正确 的 证 明 上 签 上 她 的 名 字 。PGP 证 明 上 可 以 有 多 个 机 构 证 实 它 的 有 效 性 。 这 
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里 不 存在 某 个 每 人 都 信任 的 证 明 机 构 ,PGP 用 户 依 靠 的 是 多 个 证 明 机 构 组 成 的 巨大 的 机 构 
网 (信任 网 ) ,每 个 机 构 都 有 一 些 人 信任 它 。 

S/MIME(Secure Multipurpose Internet Mail Extension) 从 PEM (Privacy Enhanced 
Mail) 和 MIME 发 展 而 来 , 同 PGP 一 样 ,S/MIME 也 采用 了 单项 散 列 算法 和 非 对 称 的 加 密 
体系 。S/MIME 与 PGP 的 主要 不 同体 现在 : 

CD 认证 机 制 依赖 于 层次 结构 的 证 书 认 证 机 构 , 即 Tree of Trust; 

C20 将 信件 内 容 签名 加 密 后 作为 特殊 的 附件 传送 ,证 书 格式 采用 X. 509 规范 ; 

(3) 侧重 于 作为 商业 和 团体 使 用 的 工业 标准 ,而 PGP 倾向 于 提供 个 人 电子 邮件 的 
安全 ; 


(4) 支持 的 厂商 相对 较 少 。 
2. SSL 安全 协议 


安全 套 接 层 (Secure Socket Layer,SSL) 协 议 是 一 个 通过 Socket 层 ( 传 输 层 ) 对 客户 和 
服务 器 之 间 的 事务 进行 安全 处 理 的 协议 ,适用 于 所 有 TCP/IP 应 用 ,由 Netscape 公司 设计 
和 开发 。 其 目的 在 于 提高 应 用 层 协议 (如 HTTP, Telnet 和 FTP 等 ) 的 安全 性 。 该 协议 已 
成 为 事实 上 的 工业 标准 ,网 景 、 微 软 .IBM 等 公司 已 在 使 用 该 协议 。 

SSL 协议 的 功能 包括 : 

(1) 数据 加 密 ; 

(2) 服务 器 验证 ; 

CD 信息 完整 性 ; 

(D 可 选 的 客户 TCP/IP 连接 验证 。 

在 SSL 协议 中 ,双方 开始 通信 之 前 ,一 方 先 提交 给 另 一 方 自己 的 证 书 。 得 到 公开 密 铀 
的 一 方 先 验证 对 方 的 身份 ,然后 把 自己 的 一 些 信息 通过 该 密 钥 加 密 传送 至 另 一 方 ,通常 这 些 
信息 是 与 会 话 密 钥 相关 的 ,进而 双方 通过 一 定 的 算法 生成 会 话 密 钥 ,握手 阶段 结束 后 便 开始 
进行 数据 传输 。 

一 个 支持 SSL 的 客户 端 软件 通过 下 列 步 又 认证 服务 器 的 身份 : 

(1) 从 服务 器 传送 的 证 书 中 获得 相关 信息 ; 

(2) 判别 当天 的 时 间 是 否 在 证 书 的 合法 期 限 内 ; 

G) 签发 证 书 的 机 关 是 否 是 客户 端 信任 的 ; 

(4) 签发 证 书 的 公 钥 是 否 符合 签发 者 的 数字 签名 ; 

(5) 证 书 中 的 服务 器 域名 是 否 符 合 服 务 器 真正 的 域名 ; 

(6) 服务 器 被 验证 成 功 , 客 户 继续 进行 握手 过 程 。 

SSL 协议 中 一 般 支 付 协议 规定 只 需 在 会 话 的 开始 进行 一 次 完整 的 握手 过 程 ,会 话 的 其 
他 连接 可 以 使 用 第 一 次 握手 的 加 密 算法 和 密 钥 等 信息 ,以 提高 交易 的 速度 。SSL 用 公开 密 
钥 加 密 ,用 来 在 客户 与 服务 器 之 间 交 换 一 个 进程 密 钥 ,这 个 密 钥 用 来 加 密 HTTP 传输 过 程 
(包括 请 求 和 响应 )。 每 次 传输 采用 不 同 的 密 钥 。 

基于 SSL 的 交易 存在 的 问题 有 : 

(D SSL 不 能 使 客户 确信 SuperSoft 接收 信用 卡 支付 是 得 到 授权 的 。 
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(2) SSL 除了 传输 过 程 外 不 能 提供 任何 安全 保证 ,黑客 可 能 通过 商家 服务 器 窃取 信用 
卡号 。 

G) 为 了 处 理 信 用 卡 支付 ,几乎 所 有 的 商家 都 要 求 客 户 输入 邮件 地 址 。 要 求 客 户 出 示 
邮件 地 址 是 一 种 防止 欺诈 的 措施 , 它 必 须 与 信用 卡 的 帐 单 地 址 相符 。 但 商店 没有 提供 有 关 
不 得 出 卖 该 地 址 和 不 得 在 这 次 交易 外 使 用 该 地 址 的 承诺 ,因此 顾客 不 能 信任 自己 的 隐私 是 
否 受 到 保护 。 

(4) SSL 没有 提供 对 浏览 器 用 户 的 认证 (可 选 )。 

(5) 通信 过 程 没有 数字 签名 ,无 法 实现 不 可 否认 性 。 


3. SET 协议 


安全 电子 交易 (Secure Electronic Transaction,SET) 是 一 种 基于 消息 流 的 应 用 层 协 议 。 
用 于 保证 在 公共 网 络 上 进行 银行 卡 支付 交易 的 安全 性 ,能 够 有 效 地 防止 电子 商务 中 的 各 种 
诈骗 。SET 主要 面向 B2C 模式 ,完全 针对 信用 卡 来 制定 ,涵盖 了 信用 卡 在 电子 商务 交易 中 
的 交易 协定 、 信 息 保 密 .资料 完整 等 各 方面 ,并 得 到 了 大 多 数 厂 商 的 认可 和 支持 。 

SET 核心 技术 包括 公开 密 钥 加 密 ,数字 签名 ,电子 信封 ,电子 安全 证 书 等 。SET 交易 分 
三 个 阶段 进行 : 

COD 在 购买 请 求 阶段 ,用 户 与 商家 确定 所 用 支付 方式 的 细节 ; 

(2) 在 支付 的 认定 阶段 ,商家 会 与 银行 核实 , 随 着 交易 的 进展 ,他 们 将 得 到 付款 ; 

(3) 在 受 款 阶段 ,商家 向 银行 出 示 所 有 交易 的 细节 ,然后 银行 以 适当 方式 转移 货款 。 

在 SET 协议 中 有 持 卡 人 发卡 机 构 商家、 银行 ,支付 网 关 等 角色 。 

CO 持 卡 人 : 通过 计算 机 与 商家 交流 ,使 用 由 发 卡 机 构 颁 发 的 付款 卡 (如 信用 卡 、 借 记 
卡 ) 进 行 结算 ; 

(2) 发 卡 机 构 : 通常 为 金融 机 构 .为 每 一 个 建立 了 帐户 的 顾客 颁发 付款 卡 ,发 卡 机 构 根 
据 不 同 品牌 卡 的 规定 和 政策 ,保证 对 每 一 笔 认 证 交易 的 付款 ; 

G) 商家 : 提供 商品 和 服务 ,接受 付款 卡 支付 的 商家 必须 和 银行 有 关系 ; 

(4) 清算 银行 : 在 线 交 易 的 商家 在 银行 开 立 帐号 ,并且 处 理 支 付 卡 的 认证 和 支付 ; 

(5) 支付 网 关 : 可 以 由 银行 操作 的 、 将 Internet 上 的 传输 数据 转换 为 金融 机 构 内 部 数据 
的 设备 ,也 可 以 由 指派 的 第 三 方 处 理 商 家 支付 信息 和 顾客 的 支付 指令 。 

一 个 成 功 的 SET 交易 的 标准 流程 如 下 : 

(1) 客户 在 网 上 商店 选中 商品 并 决定 使 用 电子 钱包 付款 ,商家 服务 器 上 的 POS 软件 发 
报 文 给 客户 的 浏览 器 要 求 电子 钱包 付款 ; 

(2) 电子 钱包 提示 客户 输入 口令 后 与 商家 服务 器 交换 握手 信息 ,确认 客户 、 商 家 均 为 合 
法 ,初始 化 支付 请 求 和 支付 响应 ; 

G) 客户 的 电子 钱包 形成 一 个 包含 购买 订单 、 支 付 命令 (内 含 加 密 了 的 客户 信用 卡号 
码 ) 的 报 文 发 送 给 商家 ; 

(4) 商家 POS 软件 生成 授权 请 求 报 文 (内 含 客户 的 支付 命令 ) ,发 给 收 单 银行 的 支付 
网 关 ; 

(5) 支付 网 关 在 确认 客户 信用 卡 没有 超过 透支 额度 的 情况 下 ,向 商家 发 送 一 个 授权 响 
应 报 文 ; 
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(6) 商家 向 客户 的 电子 钱包 发 送 一 个 购买 响应 报 文 ,交易 结束 ,客户 等 待 商家 送 货 
ig 

SET 5 SSL 相 比 具有 更 强 的 功能 ,但 提供 这 些 功能 的 前 提 是 : SET 要 求 在 银行 网 络 、 
商家 服务 器 、 顾 客 的 PC 上 安装 相应 的 软件 ,同时 SET 要 求 必须 向 各 方 发 放 证 书 。 这 些 成 
为 大 面积 推广 SET 的 障碍 ,并 且 使 得 应 用 SET 要 比 SSL 昂贵 得 多 。 由 于 SET 交易 的 低 风 
险 性 以 及 各 信用 卡 组 织 的 支持 ,SET 将 在 基于 Internet 的 支付 交易 中 占据 主导 地 位 ,但 其 
普遍 应 用 还 需 假 以 时 日 。 


42 实验 项 目 


4.2.1 OpenSSL 软件 使 用 


1. 实验 目的 


掌握 OpenSSL 软件 的 下 载 、 安 装 及 部 分 功能 的 使 用 方法 。 更 深 一 步 理 解 加 密 技术 和 数 
字 证 书 .CA、PKCS 标准 、SSL 安全 协议 等 概念 ,为 以 后 可 能 在 安全 开发 领域 的 发 展 葛 定 
基础 。 


2. 实验 原理 


OpenSSL 软件 是 一 个 健全 的 、 开 放 源 代码 的 工具 包 , 用 于 实现 安全 套 接 层 协议 (SSL 
v2/v3) 和 传输 层 安全 协议 (TLS v1) 以 及 形成 一 个 功效 完整 的 通用 加 密 库 。 该 项 目 由 全 世 
界 范围 内 志愿 者 组 成 的 团体 一 起 管理 ,他 们 使 用 Internet 去 交流 、 设 计 和 开发 这 个 
OpenSSL 工具 和 相关 的 文档 。 

OpenSSL 不 但 实现 了 SSL 的 一 些 接口 , 它 所 涵盖 的 内 容 从 各 种 常用 和 标准 的 底层 的 对 
称 、 非 对 称 加 密 算法 到 建立 在 其 上 的 PKI 的 接口 (包括 X. 509 WEB, PKI RYE, ASN. 1 等 ) 
的 实现 一 应 俱全 ,并 且 还 给 出 了 一 个 有 关 CA 的 例子 。OpenSSL 包 由 两 部 分 组 成 : SSLeay 
和 OpenSSL ,前 者 是 一 套 接 口 库 , 后 者 是 建立 在 这 个 接口 库 之 上 的 一 个 应 用 。 用 户 可 以 通 
过 使 用 SSLeay 开发 自己 的 应 用 ,实现 SSL 的 128 位 甚至 更 高 位 数 的 数据 加 密 。 随 着 时 间 
的 推移 ,OpenSSL 的 功能 越 来 越 丰 富 。OpenSSL 可 以 被 用 作 各 种 商业 、 非 商业 的 用 途 , 但 
是 为 了 保护 自由 软件 作者 及 其 作品 的 权利 ,使 用 者 在 基于 SSLeay 和 OpenSSL 上 作 开 发 
时 ,需要 遵守 一 些 相 关 协 定 。 


3. 实验 环境 
一 台 安 装 Windows 2000/XP 操作 系统 的 计算 机 。 
4. 实验 内 容 


(OD 了 解 并 下 载 安装 OpenSSL 软件 ; 
(2) 利用 enc 命令 进行 对 称 加 密 / 解 密 ; 
(3) 利用 gendsa 和 genrsa 来 产生 不 对 称 密 钥 对 ; 
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(4) 利用 rsautl 来 进行 数据 加 密 /解密 、 签 名 和 身份 验证 ; 
(5) 利用 OpenSSL 生成 证 书 ; 
(6) 证 书 内 容 查看 和 使 用 。 


5. 实验 步骤 


1) OpenSSL 软件 了 解 及 下 载 安装 

(1) 阅读 相关 帮助 文档 ,初步 了 解 OpenSSL 软件 。 

(2) 从 www. openssl. org 网 站 下 载 相 应 平台 下 的 OpenSSL 压缩 软件 包 , 解 压缩 到 某 个 
目录 下 (如 d:\openssl) ,如 图 4. 1 所 示 。 


License | Repository | Mirror 


Tarballs 


Here you can find all distributior tarballs (end sometimes corresponding 
patches) of the various OpenSSL release versions. Alternatively you can 
also download them via FTP from tke OpenSSL FTP area under 


ftp://ftp. openssl. org/source/. Tarballs containing a snapshot of the 
latest development version can be found under 
ftp://ftp. openssl. org/snapshot/. 


Bytes Timestamp Filename 


2100 Nov 20 23:16:38 2009 openssl- fips- 1.2.crossbuild.diff.gz (MD5) (SHA1) (PGP sign) 
4000628 Nov 10 14:44:01 2009 openssl- 1.0.0- beta4.tar.gz (MDS) (SHA1) (PGP sign) 
4179422 Nov 5 17:20:01 2009 openssl 一 0.9.8Ltar.gz (MDS) (SHA1) (PGP sign) [LATEST] 
3983325 Jul 15 13:42:53 2009 openssi—1.0.0—beta3.tar.gz (MDS) (SHA1) (PGP sign) 
3963699 Apr 21 18:04:22 2009 openss]—1.0.0—beta2.tar.gz (MDS) (SHA1) (PGP sign) 
305460! Apr 1 11:11:42 2009 openssl- 1.0.0—bera1.tar.gz (MDS) (SHA1) (PGP sign) 
3852259 Mar 25 13:21:40 2009 openss}—0.9.8k.tar.gz (MDS) (SHA1) (PGP sign) 

3738359 Jan 7 12:02:01 2009 openssl 一 0.9.8j.tar.gz (MDS) (SHA1) (PGP sign) 
3768905 Nov 17 46 2008 openssi— frps1.2.tar.gz (MDS; (SHA1) (PGP sign) 
552 


图 4.1 OpenSSL 软件 包 下 载 网 站 


G) 安装 Perl 编译 环境 (初始 化 的 时 候 , 需 要 用 到 Perl 解释 器 )ActivePerl-5. 6. 1. 629- 
MSWin32-x86-multi-thread. msi( 安 装 时 ,选择 “配置 环境 变量 ”) ,如 图 4.2 和 图 4. 3 所 示 。 

(4) 安装 C 编译 器 Visual C++ 软件 。 安 装 时 选择 “自动 配置 环境 变量 ”, 如 果 没 有 配置 
变量 ,在 安装 后 可 在 C:\Program Files\Microsoft Visual Studio\ VC98\ bin 目录 (默认 安装 
时 ) 下 执行 vevars32. bat 以 配置 环境 变量 , OpenSSL 编译 时 需要 用 到 VC 自 带 的 命令 。 

C» 运行 DOS 控制 台 程序 .执行 配置 文件 Configure, 如 图 4. 4 所 示 , 进行 环境 变量 设 
置 ,执行 步骤 为 : 

d:NVopenssl- perl Configure VC — WIN32 

d:Vopenssl7msVdo ms 


í& ActivePerl Build 629 Setup xj 


Welcome to the ActivePerl 
Build 629 Setup Wizard 


The Setup Wizard wil instal ActivePerl Build 629 on 
your computer. Click Next to continue or Carcel to 
exit the Setup Wizard, 


图 4.2 安装 Perl 编译 环境 


1&8 ActivePerl Build 629 Setup ES 


Choose Setup Options 
Chocse the options that suit you best 


Iv. Ad Perl to the PATH environment variable 
[V Create Per! file extension assoastion 
[v Create IIS script mapping tor Perl 


Iv. Create II5 script mapping for Perl ISAPI 


图 4.3 配置 Perl 环境 变量 


Microsoft Windows 2098 [U 5.80.2195] 
Kc» 版 权 所 有 1985-2008 Microsoft Corp. 


C: NDocunents and Settings MAdministrator»d: 
D:\>cd openssl 


[D*Nopenssl?perl Configure UC-WIN32,, 


图 4.4 安装 初始 化 配置 


(6) 编译 OpenSSL 软件 ,执行 命令 d: NVopenssl7 nmake -f msVntdll. mak ,成 功 后 将 会 
在 d:\openssl 下 生成 out32dll 目录 ,目录 中 存 有 OpenSSL 相关 的 DLL 文件 和 EXE 文件 。 
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CT) 测试 OpenSSL 软件 ,测试 步骤 为 : 


d:\openssl>cd out32dll 

d:\openssl\out32d11>. . \ms\test 

如 果 以 上 各 步骤 都 没有 出 错 信息 , 则 表明 OpenSSL 软件 已 成 功 安装 。 
2) 利用 enc 命令 进行 对 称 加 密 / 解 密 

COD 把 某 文件 转换 成 Base64 编码 方式 : 

(D 用 记事 本 在 openssl 目录 下 生成 一 个 文件 file. bins 

@ 运行 命令 openssl enc -base64 -in file. bin -out file. b64; 
@ 查看 file. b64 文件 。 

(2) 把 某 Base64 编码 文件 转换 成 源 文件 : 

(D 删除 openssl 目录 下 的 file. bin 文件 ; 

@ 运行 命令 openssl enc -base64 -d -in file. b64 -out file. bin; 
@ 查看 openssl 目录 下 的 file. bin 文件 。 

3) 把 某 文件 用 DES-CBC 方式 加 密 和 解密 

操作 方法 同 enc 方式 ,命令 分 别 为 : 


openssl enc - des3 - in file.txt - out file. des3 
openssl enc — des3 -d - in file.des3 - out file. txt 


4) 利用 gendsa 和 genrsa 来 产生 不 对 称 密 钥 对 
A) 产生 一 个 1024 位 长 的 DSA 私 钥 , 命 令 为 : 


openssl dsaparam - rand - genkey - out mydsa.key 1024 (dsaparam 命令 产生 DSA 参数 ) 
openssl gendsa - des3 - out mydsaCA. key mydsa. key (gendsa 命令 产生 DSA 的 不 对 称 密 钥 ) 


(2) 产生 一 个 1024 位 长 的 RSA 私 钥 , 命 令 为 : 
openssl genrsa - des3 - out myrsaCA.key 1024 


50 利用 rsautl 来 进行 数据 加 密 /解密 、 签 名 和 身份 验证 

(1) 用 公 钥 对 文件 加 密 : openssl rsautl -encrypt -in aa. txt -inkey myrsaCA. key -out 
aaenc. txt 

(2) 用 私 钥 对 文件 解密 : openssl rsautl -decrypt -in aaenc. txt -inkey myrsaCA. key - 
out aanew, txt 

G) 用 私 钥 对 文件 签名 : openssl rsautl -sign -in aa. txt -inkey myrsaCA. key -out sig 

(4) 用 公 钥 对 签 过 名 的 数据 进行 验证 ,得 到 原来 的 数据 : openssl rsautl -verify -in sig - 
inkey myrsaCA. key -out aa_priv. txt 

6) 利用 OpenSSL 生成 证 书 

(D Æ openssl 目录 下 创建 一 个 子 目 录 , 如 mytest, 在 此 目录 下 编辑 一 个 配置 文件 
openssl. cnf ,内容 如 下 : 

[ rea] 

default_bits = 1024 

default keyfile = ca.key 
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distinguished name = req distinguished name 
x509 extensions = v3 ca 

string mask - nombstr 

req extensions = v3 req 


[req distinguished name ] 

countryName - Country Name (2 letter code) 

countryName default - CN 

countryName min - 2 

countryName max - 2 

stateOrProvinceName - State or Province Name (full name) 
stateOrProvinceName default - Shanghai 

localityName = Locality Name (e.g., city) 

localityName default - Shanghai changning 

O0.organizationName = Organization Name (e.g., company) 
O.organizationName default = My Directory DHU 
organizationalUnitName - Organizational Unit Name (e.g., section) 
organizationalUnitName default - Certification Services Division 
commonName = Common Name (e.g. , DHU Root CA) 

commonName max = 64 

emailAddress - Email Address 

emailAddress max - 40 


v3 ca] 
basicConstraints - critical,CA:true 
subjectKeyIdentifier - hash 


v3 req] 
nsCertType - objsign,email, server 


ca] 
default ca = default CA 


" 


default CA ] 
dir -. # Where everything is kept 
certs = $dir * Where the issued certs are kept 
crl dir = $dir * Where the issued crl are kept 
database = $dir/index.txt # database index file. 
unique subject  - no * Set to 'no' to allow creation of 
* several ctificates with same subject. 
new certs dir = $dir * default place for new certs. 
certificate = $dir/cacert.crt # The CA certificate 
serial = $dir/serial * The current serial number 
private key 7 $dir/ca.key # The private key 
* crlnumber = $dir/crlnumber # the current crl number 
* must be commented out to leave a V1 CRL 
#crl = $ dir/crl. pem * The current CRL 
# RANDFILE = $dir. rand # private random number file 
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default_days = 365 
default crl days = 30 
default md - md5 

preserve - yes 

x509 extensions = user cert 
policy = policy anything 


[policy anything ] 
commonName - supplied 
emailàddress = supplied 


[user cert ] 

#SXNetID = 3:yeak 

subjectAltName = email:copy 
basicConstraints - critical,CA:false 
authorityKeyIdentifier = keyid:always 
extendedKeyUsage - clientAuth, emailProtection 


(2) 从 opensslVout32dllNdemoCA 目录 下 复制 以 下 几 个 文件 到 当前 目录 : 


index. txt 
serial 
cacert.srl 


CD 为 CA 创建 一 个 RSA 149]: 

set path = d: VopensslVout32dll; % path % ; 

设置 OpenSSL 命令 所 在 的 默认 路 径 , 也 可 直接 在 系统 环境 变量 中 进行 添加 修改 
openssl genrsa -des3 -out ca. key 1024 


(4) 根据 提示 输入 保护 密码 ,将 在 当前 目录 下 生成 ca. key 私 钥 文 件 。 
(5) 利用 CA 的 RSA 私 钥 创 建 一 个 自 签名 的 CA 根 证 书 : 


openssl req - new 一 X509 - days 3650 - key ca.key - out cacert.crt - config openssl. cnf 


(6) 输入 命令 后 .提示 输入 国家 代号 、 省 份 名 称 、 城 市 名 称 、 公 司 名 称 等 ,生成 的 根 证 书 
的 名 字 为 cacert. crt。 

(7) 为 客户 颁发 证 书 : 

openssl genrsa - des3 - out user.key 1024 


openssl req - new - key user.key - out user.csr - config openssl.cnf 
openssl x509 - req - in user.csr - out user.crt - CA cacert.crt - CAkey ca.key - days 600 


C8) 根据 提示 输入 一 些 个 人 信息 ,生成 客户 证 书 user. crt。 
(9) 可 进一步 将 客户 证 书 user. crt 转换 为 个 人 私 钥 证 书 : 


openssl pkcs12 - export — clcerts - in user.crt - inkey user.key - out user.p12 
(10) 使 用 CA 命令 来 模拟 CA 中 心 :进行 证 书签 发 : 


openssl ca - config openssl.cnf - in user.csr — out newuser.crt 
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7) 证 书 内 容 查看 和 使 用 

(1). 显示 user. crt 中 的 内 容 : 

openssl x509 -in user.crt -noout -text 

(2) 复制 出 user. crt 中 的 公 钥 , 放 在 文件 userpub. key 中 : 

openssl x509 -in user. crt -pubkey -noout >userpub. key 

G) 对 签名 的 证 书 user. crt 进行 详细 分 析 : 

openssl asnlparse -in user.crt 

(4) 将 根 证 书 和 客户 证 书 分 别 导 入 TE 和 Outlook 中 进行 安全 电子 邮件 的 发 送 。 
6. 实验 报告 与 要 求 


根据 上 面 介 绍 的 各 项 实验 要 求 , 了 解 并 使 用 OpenSSL 软件 的 各 项 功能 ,并 模拟 一 个 根 
CA 为 指导 教师 颁发 一 张 客户 证 书 . 用 该 公 钥 给 教师 发 送 一 封 加 密 邮件 ,将 根 证 书 和 客户 证 
书 ( 带 私 钥 ) 文 件 作为 邮件 附件 一 起 发 出 。 


7. 实验 分 析 与 讨论 


OpenSSL 软件 提供 了 从 底层 各 种 加 密 算法 到 应 用 层 CA 的 实现 方法 ,用 户 可 以 结合 自 
己 所 人 掌握 的 密码 学 知识 对 OpenSSL 中 本 实验 未 涉及 的 功能 进行 尝试 ,并 考虑 如 何 利用 
OpenSSL 提供 的 功能 实现 其 他 高 层 的 应 用 开发 。 


8. 注意 事项 


(1) 安装 OpenSSL 软件 包 时 ,如 果实 验 计 算 机 上 已 安装 VC6.0, 但 没有 配置 变量 ,可 以 
运行 vevars32. bat 然后 重启 或 者 手工 添加 相关 的 环境 变量 ,添加 方法 为 进入 “控制 面板 ”| 
“系统 ”|* 高 级 "|* 环 境 变量 ”, 在 系统 变量 中 加 入 下 列 内 容 : 

(D Path Æ: “c:\Program Files\Microsoft Visual Studio\ Common\ MSDev98\ Bin; 
c:\Program Files\Microsoft Visual Studio\ Common Tools; c:\Program Files\Microsoft 
Visual Studio\ VC98Vbin" , 

© MSDevDir 变量 :“c:\Program Files\Microsoft Visual Studio\Common\ MSDev98” , 

© Include 变量 : “c:\Program Files\Microsoft Visual Studio\ VC98VatlVinclude; c; V 
Program Files V Microsoft Visual Studio\ VC98\ mfc\ include; c:\Program Files V Microsoft 
Visual Studio V VC98Vinclude" , 

CD Lib 变量 : “c:\Program Files\Microsoft Visual Studio VC98\mfc\ lib; c:\Program 
Files\Microsoft Visual StudioV VC98Mib", 

需要 注意 的 是 ,以 上 内 容 对 于 已 有 变量 为 添加 进去 ,不 是 蔡 换 ,. 原 有 信息 部 分 仍然 保留 ; 
对 于 未 有 变量 ,需要 新 建 。 

(2) enc 命令 的 详细 参数 说 明 见 相关 帮助 文档 ,或 在 命令 行 输入 “openssl enc -help” T 
解 各 参数 含义 和 取 值 方法 ,其 他 命令 同 。 

(3) 建议 用 户 将 练习 相关 的 文件 放 入 一 新 建 的 文件 夹 中 ,如 mytest, 要 在 其 他 目录 中 
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使 用 out32dll 中 的 命令 ,需要 把 d:\openssl\out32dll 路 径 加 入 Path 环境 变量 中 。 

(4) 利用 rsautl 来 进行 数据 加 密 / 解 密 时 ,只 能 对 少量 数据 (一 般 少 于 150 字 节 ) 进 行 。 

(5) 在 Windows 2000 Server 下 ,不 需要 重新 安装 OpenSSL 软件 ,只 需要 从 教师 机 上 下 
载 OpenSSL 的 执行 版 ,解压 缩 到 D 盘 根 目 录 下 ,将 文件 夹 名 改 成 openssl。 另 外 ,使 用 软件 
前 需要 安装 Perl 编译 环境 ActivePerl-5. 6. 1. 629 -MSWin32 -x86 -multi -thread. msi, 

(6) 在 IE fll Outlook 中 使 用 OpenSSL 所 产生 的 证 书 时 ,方法 参照 实验 “数字 证 书 的 申 
请 与 使 用 ”。 


4.2.2 SSL 安全 协议 


1. 实验 目的 


通过 实验 掌握 利用 Windows 2000 的 证 书 服务 在 网 络 中 实现 SSL 安全 连接 ,用 
HTTPS 协议 代替 HTTP 协议 ,实现 安全 的 Web 传输 。 


2. 实验 原理 


目前 Web 浏览 器 普遍 将 SSL 与 HTTP 协议 相 结合 来 保证 两 个 应 用 间 通 信 的 保密 性 和 
可 靠 性 ,以 解决 Web 上 信息 传输 的 安全 问题 。SSL 位 于 七 层 网 络 模 型 的 会 话 层 ,与 应 用 层 
协议 独立 无 关 , 因 此 ,高 层 的 应 用 层 协 议 能 透明 地 建立 于 SSL 协议 之 上 ,SSL 协议 在 应 用 层 
协议 通信 之 前 就 已 经 完成 加 密 算法 、 通 信和 密 钥 的 协商 以 及 服务 器 认证 工作 。 基 于 SSL 的 通 
信 中 ,服务 器 端的 认证 是 必需 的 ,客户 端的 认证 是 可 选 的 ,也 可 以 通过 对 网 站 安全 属性 进行 
设置 强制 要 求 客 户 端 认证 ,实现 通信 双方 的 身份 认证 。 


3. 实验 环境 


服务 器 端 是 运行 Windows 2000 Server 操作 系统 的 计算 机 ,客户 端 是 运行 Windows 
2000 Professional 操作 系统 的 计算 机 ,服务 器 端 已 安装 TIS 服务 组 件 。 


4. 实验 内 容 


(D 在 Windows 2000 Server 上 安装 证 书 服务 ; 
(2) Web 网 站 申请 证 书 ; 

(D CA 机 构 颁 发 证 书 ; 

(4) Web 网 站 下 载 .安装 CA 颁发 的 证 书 。 


5. 实验 步骤 


1) 在 Windows 2000 Server 上 安装 证 书 服务 

(1) 选择 “开始 ”|* 设 置 ?|* 控 制 面板 .打开 控制 面板 窗口 .选择 * 添 加 ”|* 删 除 程序 ” 窗 
口中 的 “添加 ?| 删除 Windows 组 件 " 图 标 ,在 “Windows 组 件 向 导 ” 对 话 框 中 选择 “证 书 服 
务 ”, 如 图 4.5 所 示 。 


xi 


Tindors HPF 
可 以 添加 或 删除 Windows 2000 ARAP. 


BEO 安 半 证书 地 发 机 构 以 全 申请 证 书 用 于 公 角 安全 兢 用 程序 
Fene: 11.4 UB 
TARRA: 225709.3 uB i 


Ctra un 


图 4.5 安装 证 书 服务 


(2) 在 出 现 的 提示 框 中 单 击 * 是 "按钮 ,如 图 4.6 所 示 。 


Microsoft 证 书 服务 E 2d 
A SURUEBIRS E TEEAZHEN PAHENTAA MIRAR. EAE? 


一 到 | 


图 4.6 确认 安装 证 书 服务 


(3) 选择 “独立 根 CA” 单 选 按钮 ,如 图 4.7 所 示 。 


windows 组 件 向 导 E: 
证 书 硬 发 机 构 类 型 [æ] 
有 四 种 共 型 的 证 书 烦 发 机 构 。 


CÀ. 
Active Directorv. 


Ei 
AA MUTI op ATER erac RREA 


厂 BENARGPQU 


HEU NnIIENEUN 


图 4.7 选择 证 书 颁发 机 构 类 型 


(4) 输入 CA 注册 信息 ,如 图 4. 8 所 示 。 


(5) 确定 CA 证 书 数据 库 、 数 据 库 日 志 及 共享 文件 夹 的 存放 位 置 ,如 图 4.9 所 示 。 
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windows 组 件 向 导 ES 
CA 标识 信息 [=] 
AITA CA 的 信息 
以 Asp æa 
单位 四 ): | 
mna. fie 
mq. -hanghai 
省 或 自治 区 G): E3 sramno [wo 
电子 邮件 到 ): [estcAasins con 
cA HE QD: [RESSSTERZXUÜUEESS o 
ARN QD: E Tr zx] .rr 


Es [FB a | 


图 4.8 输入 注册 信息 
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zu | 
图 4.9 设置 相关 文件 存放 位 置 


(6) 在 CA 安装 过 程 中 ,需要 停止 TIS 服务 ,如 图 4. 10 和 图 4. 11 所 示 ,安装 成 功 后 ,IIS 
服务 和 证 书 服务 会 自动 启动 。 


Microsoft 证 书 服务 E 
(AN, neis msn nene RARE. BIZ EASIDETKG. 要 U0 上 天 9? 
ELM 


图 4.10 停止 IIS 服务 


2) Web 网 站 服务 器 证 书 申请 

CD 选择 “开始 |" 程序 "| ”管理 工具”|*Internet 服务 管理 器 "命令 ,在 打开 的 窗口 中 选 
中 默认 Web 站 点 , 右 击 鼠标 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,如 图 4. 12 Bron. 

COD 在 站 点 属性 对 话 框 中 ,选择 “目录 安全 性 ”选项 卡 , 单 击 “ 服 务 器 证 书 ” 按 钮 ,如 图 4. 13 
所 示 。 启 动 Web 服务 器 证 书 向 导 . 如 图 4. 14 所 示 。 
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图 4.13 设置 服务 器 证 书 
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Fe E] 
gem “Web 服务 器 证 书 向 


此 向 导 生 助 念 在 服 荔 器 和 客户 端 之 间 创 尘 和 管理 用 于 安 
全 Web 通信 的 服务 器 证 书 。 


Tob 服务 器 状态 


EB BEBE. ut gd mmmsm B 
全 和 


图 4.14 启动 服务 器 证 书 安装 向 导 


F—3b" f Hl ,选择 “创建 一 个 新 证 书 ? 单 选 按钮 ,如 图 4. 15 所 示 。 


x 
服务 器 证 书 
有 三 种 方法 村 证 书 分 配 到 Web 站 点 上 。 


地 职 您 想 用 于 此 ved 站 点 的 方法 

(e SR TREE CI- 

C Bl—TCRFERESS QU. 

C MEUSE GER CHRSRA — TRES QD 


Lud 
图 4.15 创建 新 证 书 


(4) 选择 “现在 准备 请 求 .但 稍 候 发 送 ” 单 选 按钮 ,如 图 4. 16 所 示 。 
xj 
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图 4.16 提交 证 书 申请 
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(5) 为 证 书 设置 名 称 和 加 密 密 钥 的 长 度 , 如 图 4. 17 所 示 。 


[us 证 书 向 导 


图 4.17 设置 证 书 基 本 信息 (1) 


(6) 为 证 书 设置 组 织 名 称 和 部 门 ,如 图 4. 18 所 示 。 


图 4.18 设置 证 书 基 本 信息 (2) 


(7) 为 证 书 设置 站 点 公用 名 称 , 如 图 4. 19 所 示 。 


站 点 的 公用 名 称 
Jp Yeb 站 点 的 公用 名 竺 是 其 误 全 合 禧 的 域名 称 - 


图 4.19 设置 证 书 基 本 信息 (3) 
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(8) 为 证 书 设置 颁发 机 构 的 地 理 信息 ,如 图 4. 20 所 示 。 


图 4.20 设置 证 书 基 本 信息 (4) 


(9) 设置 证 书 请 求 文件 名 及 位 置 ,如 图 4.21 所 示 。 


图 4.21 设置 证 书 请 求 保存 文件 
(00 单 击 " 下 一 步 "按钮 完成 证 书 设置 ,出 现 证 书 请 求 文件 的 摘要 信息 ,如 图 4. 22 Bron o 


图 4. 22 ”证书 请 求 文件 摘要 信息 


N 
a 
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OD 确认 后 单 击 * 下 一 步 ? 按 钮 完成 证 书 向 导 , 生 成 Web 站 点 的 证 书 请 求 文件 ,如 图 4. 23 
所 示 o 


完成 Web 服务 器 证 书 向 导 

您 已 记功 完成 了 sh REMESAS. 一 个 证 书 
a TERIS p 

clleertrag tzt 
uera ames uma, USE 
和 
要 查看 提 烘 袜 软 产品 服务 的 证 书 饥 发 机 构 8 列表 。 


sium 


若 要 关闭 向 导 ， 请 单 击 “ 完 成 ”。 


BE idi] 


图 4.23 完成 服务 器 证 书 向 导 


(12) 打开 IE 浏览 器 ,输入 "http://CA IP/certsrv/”, 其 中 CA IP 为 证 书 颁 发 机 构 服务 
器 IP 地 址 ,提交 网 站 证 书 请 求 文件 ,向 证 书 颁 发 机 构 申 请 证 书 ,如 图 4. 24 Bros ,选择 “申请 
证 书 ” 单 选 按钮 。 


BERIP- NER. WERE EWH Web 


] 


rp 
图 4. 24 向 证 书 颁发 机 构 申 请 证 书 
(13) 选择 “高 级 申请 " 单 选 按钮 , 单 击 “ 下 一 步 "按钮 ,如 图 4. 25 所 示 。 
E] 
Microsof TERMS- tartCA Ej 
选择 申请 类 型 
人 高 组 申请 
Tr 


图 4.25 选择 申请 类 型 
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(14) 在 高 级 证 书 申请 中 ,选择 “使 用 base64 编码 的 PKCS #10 文件 提交 一 个 证 书 申 
请 ,或 使 用 base64 编码 的 PKCS #7 文件 更 新 证 书 申请 .” 单 选 按钮 ,如 图 4. 26 所 示 。 


习 


高级 证 书 申请 


您 可 以 用 下 列 方 法 之 一 为 您 自己 ， 其 他 用 户 ， 或 计算 机 申请 一 个 证 书 。 请 注意 证 书 侨 发 机 构 (C 名 的 第 略 将 决定 您 能 壬 得 的 证 书 。 
C 使 用 表情 同 这 个 CA 提交 一 个 证 节 申请 , 


€ BERE beti AN SRCS HORER CERE 


RTE Vae REIS PECS 7 PRISER 
C FERE RIEBESNOS UR B -EPNER E 8 — PUES. 
OSRE- IUBRRIEDMN RP TR 
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图 4.26 选择 证 书 申请 方式 


(15) 打开 上 面 操作 中 存放 的 证 书 请 求 文件 certreq. txt, 将 其 内 容 复 制 到 “保存 的 申请 ” 
文本 框 内 进行 提交 ,如 图 4. 27 所 示 o 


提交 一 个 保存 的 申请 


Milites 编码 的 PECS i0 ERRARE EIS RET ON web 浏览 器 ;生成 的 PECS ey XUTUR SUA TELE — ANAIE 
保存 的 申请; 
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图 4.27 提交 保存 的 证 书 


(160 证 书 被 挂 起 ,等 待 证 书 颁 发 机 构 的 审批 ,如 图 4. 28 所 示 。 


ort EREE 一 tostCA 


mite 


是 的 证 书 申请 已经 收 到 ， 不 过 ， 姬 必须 等 阁 知 理 员 友 布 怎 申请 的 证 书 。 
请 在 一 天 或 两 天 内 回 到 此 veb EAE EEN. 
dX CLARE eee MIRE 10 XXcEIIG E e faic 


图 4.28 证 书 被 挂 起 
3) CA 机 构 颁 发 证 书 


CD 在 “开始 ”1“ 程 序 ”| “管理 工具 ”中 选择 “证 书 颁 发 机 构 ”, 打 开 相 应 的 管理 窗口 ,如 
图 4. 29 所 示 。 


(2) 选择 “待定 申请 ”, 在 窗口 右边 将 列 出 已 提出 申请 但 未 回复 的 证 书 申请 ,如 图 4. 30 
所 示 。 
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4.29 证 书 颁 发 机 构 审核 证 书 (1) 
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BEGINN... Taken Under S... 2009-12-14 11... CHAMPION\ 


图 4. 30 证 书 颁 发 机 构 审核 证 书 (2) 
(3) 选中 一 个 待定 申请 , 右 击 ,在 弹出 的 快捷 菜单 中 选择 * 所 有 任务 ”|* 颁 发 ”, 如 图 4. 31 
所 示 。 
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图 4.31 证 书 颁发 机 构 颁 发 证 书 
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(4) 选择 窗口 左边 的 “颁发 的 证 书 ”, 会 看 到 刚刚 颁发 的 证 书 , 如 图 4. 32 所 示 。 


E ERARIK alol 
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CHAMPION. -—BEGINC... 616369... 2003-12-11 10... 2010 
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C 不 威 融 的 中 请 


图 4. 32 查看 已 颁发 的 证 书 


4) Web 网 站 下 载 .安装 CA 颁发 的 证 书 
(1) 打开 下 浏览 器 ,输入 “http://CA IP/certsrv/”, 其 中 CA IP 为 证 书 颁发 机 构 服 务 


器 IP 地 址 ,选择 “检查 挂 起 的 证 书 ” 单 选 按钮 ,如 图 4. 33 所 示 。 


欢迎 


您 使用 此 Web 站 点 为 和 的 Web MNA, BFA 
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图 4.33 下 载 CA 颁发 的 证 书 


(20 选择 已 申请 的 证 书 , 如 图 4. 34 所 示 。 


zcrarott TEES 一 testCA 


检查 挂 起 的 证 书 申请 


前 选择 姬 要 柱 查 的 证 书店 请 : 


TS 


图 4.34 选择 查看 的 证 书 申请 


(3) 在 弹出 的 窗口 中 单 击 “下 载 CA 证 书 ” 链 接 , 如 图 4. 35 所 示 。 
(4) 保存 证 书 并 确定 保存 路 径 和 文件 名 ,如 图 4. 36 和 图 4. 37 所 示 。 


您 申请 的 证 忆 已 发布 给 经， 
5 Æ CBose LIII 


4.35 下 载 CA 证书 
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图 4.36 下 载 证 书 
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图 4.37 保存 证 书 


(5) 选择 “开始 ”| "程序 "| ET” | “Internet 服务 管理 器 "命令 ,打开 相应 窗口 ,选中 
默认 Web 站 点 , 右 击 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”, 在 打开 的 属性 对 话 框 中 单 击 “ 目 录 


安全 性 ”选项 卡 ,如 图 4. 38 所 示 。 
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图 4. 38 打开 站 点 属性 对 话 框 
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C6) 单 击 * 服 务 器 证 书 ” 按 钮 ,启动 证 书 向 导 , 选 择 * 处 理 挂 起 的 请 求 并 安装 证 书 ” 单 选 按 
钮 ,如 图 4. 39 所 示 。 


图 4.39 处理 挂 起 的 证 书 请 求 


(7) 选择 刚刚 存放 证 书 的 路 径 和 文件 名 ,如 图 4. 40 所 示 。 


图 4. 40 选择 所 保存 的 证 书 文件 


CD 显示 证 书 摘要 信息 并 完成 证 书 的 安装 ,如 图 4. 41 所 示 。 


图 4.41 安装 证 书 
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(9) 在 Web 站 点 属性 对 话 框 中 , 单 击 "编辑 "按钮 ,如 图 4. 42 所 示 。 
加 到 
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图 4.42 编辑 安全 通信 方式 


(10) 在 弹出 的 “安全 通信 "对话 框 中 ,选中 “申请 安全 通道 (SSL)" 复 选 框 ,如 图 4. 43 


所 示 。 


(11) 在 Web 站 点 属性 对 话 框 中 , 单 击 “ 查 看 证 书 ” 按 钮 ,查看 刚刚 安装 的 证 书 的 详细 信 


息 , 如 图 4.44 所 示 。 
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图 4.43 申请 SSL 安全 通道 


证 书信 息 


这 个 证 书 的 目的 是 : 
* 保证 运程 计算 机 的 身份 


有 效 期 起 始 日 期 2009-12-14 到 2010-12-14 
P 您 有 一 个 与 沪 证 蔬 对 应 的 天 钼 。 


ToU LER EY 


图 4. 44 查看 已 安装 证 书信 息 


(12) 通过 IE 浏览 器 访问 刚刚 安装 了 证 书 的 Web 网 站 ,可 以 发 现 网 站 要 求 访问 者 使 用 
HTTPS 安全 协议 来 代替 原来 的 HTTP 协议 ,如 图 4. 45 所 示 。 
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图 4.45 网 站 要 求 以 HTTPS 方式 访问 


(13) 输入 “https://CA IP/”, 进 行 网 络 链 接 ,在 弹出 的 安全 警告 对 话 框 中 单 击 “ 确 定 ” 
按钮 ,并 在 后 续 弹 出 的 警告 框 中 选择 “是”, 由 于 相应 服务 器 上 没有 主页 可 以 显示 ,将 看 到 如 
图 4. 46 所 示 内 容 , 可 以 发 现 与 Web 网 站 的 SSL 安全 通道 已 经 建立 。 
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图 4.46 ”建立 与 Web 网 站 的 SSL 安全 通道 


6. 实验 报告 与 要 求 
根据 上 面 介绍 的 各 项 实验 要 求 ,详细 观察 记录 证 书 服务 和 Web 网 站 SSL 安全 通信 开 
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通 前 后 系统 的 变化 ,给 出 分 析 报告 。 
7. 实验 分 析 与 讨论 


在 SSL 通信 中 ,为 了 实现 更 加 全 面 的 安全 性 ,可 以 同时 进行 客户 端 身份 认证 。 用 户 可 
以 参照 服务 器 端 证 书 的 申请 和 安装 方法 ,考虑 如 何 进行 客户 端 证 书 的 申请 和 安装 ,并 对 基于 
通信 双方 身份 认证 的 SSL 连接 启用 过 程 和 通信 原理 进行 思考 。 


8. 注意 事项 
安装 证 书 服务 时 ,只 有 域 控制 器 才能 安装 企业 根 CA 和 企业 从 属 CA, 


4.2.3 数字 证 书 的 申请 与 使 用 


1. 实验 目的 


了 解 国内 外 主要 的 CA 机 构 及 其 提供 的 服务 种 类 ,掌握 数字 证 书 的 申请 、 安 装 及 使 用 
方法 。 

2. 实验 原理 

目前 国内 外 各 主要 CA 中 心 都 提供 了 各 种 数字 证 书 的 相关 服务 ,本 实验 以 天 威 诚信 网 
上 试用 型 电子 邮件 数字 证 书 为 例 介 绍 了 数字 证 书 的 申请 和 使 用 方法 。 

3. 实验 环境 

安装 了 Windows 2000/XP 操作 系统 的 主机 一 台 ,配置 有 Internet Explorer 和 Outlook 
Express 软件 。 

4. 实验 内 容 

(1) 通过 浏览 各 数字 认证 中 心 网 址 .了 解 比较 各 CA 的 特点 ; 

(2) 从 一 家 CA 中 心 申请 一 份 数字 证 书 ,进行 安装 ， 

(3) 对 该 证 书 分 别 进 行 密 钥 对 和 单独 公 钥 的 导出 保存 ; 

(4) 利用 Outlook 发 送 带 有 数字 签名 的 电子 邮件 ; 

(5) 发 送 加 密 的 电子 邮件 。 

5. 实验 步骤 


D 上 网 浏览 各 CA 中 心 网 址 ,了 解 各 CA 的 特点 并 进行 比较 ,部 分 CA 网 址 如 表 4. 1 
所 示 。 


表 4.1 部 分 CA 网址 


CA 名 称 网 址 CA 名 称 网 址 
verisign www. verisign. com 上 海 CA www. sheca. com 
北京 CA www. bjca. org. cn 天 威 诚 信 www. itrus. com. cn 


广东 CA WWW. cnca. net 中 国 金 融 认 证 中 心 www. cfca. com. cn 
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2) 数字 证 书 的 申请 与 安装 
d) 登录 到 http://www. itrus. com. cn/Services. php ,选择 “安全 电子 邮件 服务 ”试用 
链接 ,如 图 4. 47 所 示 。 
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图 4. 47 天 威 诚信 证 书 服务 界面 


(2) 在 https://ica-enroll. itrus. com. cn/cscfree/ 页 面 中 单 击 “ 申 请 用 户 证 书 ” 链 接 , 如 
图 4. 48 所 示 。 
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图 4.48 申请 用 户 证 书 


(3) 进入 “用 户 基本 信息 ”表单 ,按照 表单 的 提示 内 容 , 完 整地 输入 个 人 资料 , 单 击 “ 确 
认 ” 按 钮 ,系统 将 完成 数字 证 书 的 签发 和 相关 证 书 链 的 安装 ,如 图 4. 49 和 图 4. 50 所 示 。 
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图 4. 49 填写 个 人 资料 


KKD 
eme -e OAA AN uem qas icr cc d Kus 
E 


HEED) [e ruso ties arrol trus com crvcacfron 


URTER 


OiTraschine Co. 
pn 

LI DeCansumer Services Center Free Pasil 
[rd 


nailhdiress=hqreiaal ede. on 


KAS DaonhBF2TEYEET8-38Ts0DnSsS1T4E6AAa0TO 


注 杰 : 如 采 役 有 安装 成 功 , 请 再 次 点 击 “ 黎 取证 书 ” 
庆生 


图 4. 50 ”下载 和 安装 数字 证 书 


3) 查看 数字 证 书 及 导出 保存 
(1) 首先 打开 Internet Explorer, 在 其 菜单 栏 上 选择 “工具 ”|“Internet 选项 ”命令 ,在 
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"Internet 选项 ”对 话 框 中 ,选择 内容” 选项 卡 . 单 击 “ 证 书 ” 按 钮 查看 当前 信任 的 证 书 列表 ， 
如 图 4.51 所 示 。 
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图 4. 51 查看 证 书 列表 


(2) 在 “证 书 ” 对 话 框 中 ,打开 “个 人 ”选项 卡 ,可 以 查看 到 已 经 申请 的 个 人 数字 证 书 列 
表 , 如 图 4.52 所 示 。 打 开 “ 受 信任 的 根 证 书 颁发 机 构 ” 选 项 卡 ,可 以 看 到 相应 的 根 证 书 已 添 
加 到 证 书 列表 中 ,如 图 4. 53 所 示 。 
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4.52 ”查看 已 经 申请 的 个 人 数字 证 书 


O 选 定 需要 查看 的 个 人 数字 证 书 ,然后 单 击 “ 查 看 "按钮 ,可 以 查看 相应 数字 证 书 的 详 
细 信 息 , 如 图 4. 54 所 示 。 
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图 4.53 查看 受信 任 的 根 证 书 图 4. 54 查看 证 书 详细 信息 
(4) 选 定 需要 导出 的 个 人 数字 证 书 , 然 后 单 击 * 导 出 ?按钮 ,根据 提示 选择 “是 ,导出 私 
按钮 ,可 以 导出 密 钥 对 到 指定 的 文件 中 ,如 图 4.55 一 图 4. 58 所 示 。 
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图 4.55 证 书 导 出 向 导 
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Ruxewar. RSEETABBUEH RSH. EUG Gm ENUE 
ERESSE- EET 

c R.muIY 

个 不 ,不 要 导出 箭 钥 中 ) 


«r-em[r—*m»] mis 
图 4. 56 选择 导出 密 钥 
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证 书 导 出 向 导 四 


EA 
要 保证 安全 AORA EBR HHA. 


键入 并 确认 密码 。 
my: 


m 


确认 密码 他) 


E 
图 4.57 设置 私 钥 保护 密码 


证 书 导出 向 导 xi 
正在 完成 证 书 导出 向 导 
VEMM EE BS HS. 
eM ARE 
FEZ MEG 


FHER 是 
包 摘 证 书 路径 中 所 有 证 书 E 
文件 格式 PARMIN p£) 


Li] 
图 4. 58 完成 证 书 导出 
(5) 选 定 需 要 导出 的 个 人 数字 证 书 , 然 后 单 击 * 导 出 ?按钮 ,根据 提示 选择 “不 ,不 要 导出 
私 钥 " 单 选 按钮 ,可 以 导出 公 钥 对 到 指定 的 文件 中 ,如 图 4. 59 所 示 。 


证 书 导出 向 导 E: 


Sieu 
Ees EAL na ia ts D 


gana: AoRSERCASESRUE SEE SE » BUSTER- LAE 


E 
C, Burial 
TF TSR 


x 
图 4. 59 FHAA 
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4) 使 用 数字 证 书 发 送 安 全 邮件 

(1) 打开 Outlook Express, WFE“ TR” | “帐户 ”命令 ,在 “Internet 帐户 ”对 话 框 中 , 单 击 
“添加 "按钮 ,并 选择 * 邮 件 ” 选 项 ,进入 “Internet 连接 向 导 ” 对 话 框 ,按照 系统 提示 输入 相关 
信息 ,完成 帐号 设置 ,如 图 4. 60 所 示 。 


[ntemmet 过 接 向 0H 
sees 


说 ， 悠 的 姓名 格 出 现在 外 发 邮件 的 “发 牢 人 ”字段 ,。 RAS 


EREM) r 


LESU »| 取消 


图 4.60 Outlook Express 帐号 设置 


(2) 设置 邮箱 与 数字 证 书 绑 定 : 选择 “工具 ”|“ 帐 户 ” 命 令 , 选 中 “邮件 ”选项 卡 中 用 于 发 
送 安全 电子 邮件 的 邮件 帐户 ,如 图 4. 61 所 示 。 然 后 单 击 * 属 性 ?按钮 .进入 "属性 "对话 框 。 

(3) 选择 “属性 ”对 话 框 的 “安全 ”选项 卡 , 可 以 看 到 “签署 证 书 ” 和 “加 密 首 选项 "这 两 个 
选项 区 域 。 通 过 相关 设置 ,可 以 进行 邮件 的 签署 和 加 密 , 如 图 4.62 所 示 。 


“Z pop3.dhu.edu.cn 属性 


an | 服务 器 | 连接 ”安全 [mw | 


一 
ATE REREN. ARREA TOP IE 


zix aso: [— — — — [EX 
全 部  HWR [mm | 目录 服务 | amw » 


ME EEE 


nz LATI | ESQ L— — — dev. 


SA... 


Sum. | 
GEI. | 


算法 [DES 到 


mz | mm | xw 


图 4.61 设置 邮件 帐户 属性 图 4.62 对 邮件 帐户 进行 安全 设置 


(4) 单 击 “ 签 名 证 书 ” 选 项 区 域 中 的 “选择 ”按钮 ,就 可 以 看 到 自己 已 经 申请 的 数字 证 书 
了 。 选 择 自己 的 数字 证 书 , 单 击 “ 确 定 ? 按 钮 , 即 完成 了 邮箱 与 证 书 的 绑 定 ,也 可 以 单 击 “ 查 看 
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证 书 ” 按 钮 ,了 解 自己 的 数字 证 书 的 详细 信息 。 最 后 单 击 “ 确 定 ” 按 钮 即 可 ,如 图 4. 63 和 
图 4. 64 所 示 。 
ES 


TA vmma] 证 书 路 径 | 信任 | 


TREA 


这 个 证 书 的 目的 是 : 
* 保护 电子 邮件 消息 


选择 默认 帐户 数字 1D KIE 


MRa: RIR 


颁发 者 :  iTruschina CN Consumer Individual 
Subscriber CA-1 


有 效 期 起 始 日 期 2009-12-3 到 2010-2-1 
P 您 有 有一 个 与 流 证 世 对 应 的 瓦 钵 。 


FREAG 


图 4.63 设置 邮件 签名 证 书 图 4.64 查看 签名 证 书信 息 


(5) 按照 同样 的 方法 ,也 可 以 在 “加 密 首 选项 ”选项 区 域 中 把 自己 的 证 书 选中 ,如 图 4. 65 
所 示 。 

(6) 发 送 安全 的 加 密 邮 件 之 前 ,需要 先 获得 接收 方 的 数字 标识 。 可 以 首先 让 接收 方 发 
送 一 份 签名 邮件 来 获取 对 方 的 数字 标识 .或 者 直接 到 电子 商务 安全 认证 中 心 的 网 站 上 查询 
并 下 载 对 方 的 数字 标识 。 然 后 在 该 联系 人 的 属性 对 话 框 “ 数 字 标 识 ” 选 项 卡 中 ,导入 其 公 引 
(数字 证 书 ) , 即 完成 公 钥 与 该 联系 人 的 绑 定 , 如 图 4. 66 和 图 4. 67 所 示 。 


aixi EE 
常规 | 服务 器 | 连接 安全 mm | *€& te | 业务 | 个 人 | 其 地 | Wetneetine | 数字 标识 | 
Ed 
ATESTAS aranataenna SE 
sq. | 
meo fn Fn] xu | soha O O 
一 nam: gx [wa 可 wma: 
Co i i s TARSIH): A 
et map | 
mo 网 所 一 一 一 — e: 


RARUA) 


图 4.65 设置 邮件 加 密 证 书 图 4.66 设置 邮件 联系 人 属性 
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zix 
AE | 姓名 “| 住宅 “| 业务 “| 个 人 | 其 地 | Neuleetise 数字 标识 | 


[Eg] 。 天 四 、 引 同和 查看 此 联系 人 的 数字 标识 - 


选择 电子 邮件 地 址 (E): 
hqwei006Gsina,com hd 
刁 远 定 的 电子 邮件 地 址 相关 联 的 称 字 标识 (CD); 
V hqwei006@sina.com (RU) RER) 
ev | 
Ez 2:163) | 
Ae oo... | 


确定 取消 


图 4.67 设置 邮件 联系 人 数字 标识 


(7) 在 Outlook Express 6.0 中 , 单 击 “创建 邮件 ?按钮 ,进入 "新 邮件 ”窗口 ,开始 撰写 邮 
件 。 同 时 选中 工具 栏 中 的 “签名 ?或 加密? 图 标 , 如 图 4. 68 所 示 。 


Ani x| 
E CIPUE AER D PME E I 
| 3 Xx a a Ses q3 
发 送 eu El ts A m Eu 

GARA: |hqweoo6esna com A 
[52 E22 a 
主题 : hest 
Ese  zíwz:EIBzuAGzcc£Lesme-44[u 

z 
This is a test letter.| 

ul 

EA 


图 4.68 创建 加 密 与 签名 邮件 


(8) 然后 单 击 “ 发 送 " 按 钮 ,签名 邮件 的 发 送 即 告 成 功 。 

(9) 当 收 件 人 收 到 并 打开 有 数字 签名 和 加 密 的 邮件 时 ,对方 将 看 到 “数字 签名 和 加 密 邮 
件 ” 的 提示 信息 ,如 图 4. 69 所 示 。 只 有 在 单 击 “ 继 续 ” 按 钮 后 , 才 可 以 阅读 该 邮件 内 容 , 如 
图 4. 70 所 示 。 若 该 邮件 在 传输 过 程 中 被 其 他 人 自 改 或 发 信人 的 数字 证 书 有 问题 ,系统 将 给 
出 “安全 警告 "提示 。 
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而 收 件 箱 - Outlook Express -lolx 
| XÐ RRO SEW IAV SKD MHH Bal 
| D .2 9 g | 3 La -| o m. 
ifi ERO cXEEH — HE 打印 [2887 3 地 址 E 
AX Be mmu o 
IG Outlook Express EZ Microsoft Outlook Exp... 欢迎 使 用 Dutlook Express 6 2008-6-18 11:04 
EQ rtr twei hongqin test 2009-12-29 14:-.. 
Ga RAR (2) 
Ç SH w 


Sf 已 发 送 邮 件 发 件 人 : weihongqn MRPEA: who 
G Bakst (7) | 主题: test 


V XR 数字 签名 和 加 密 邮 件 f 
Q 此 部 件 已 由 发 件 人 数字 签名 并 加 密 。 
O 信人 人 约 兴 各 电 伯 能 让 乏 强 计 邮 件 的 真 守 性 一 即 邮件 确 突 来 自 森 发 人 人， | 
天 


且 在 传输 过 程 中 未 被 莫 改 过 


签名 邮件 可 能 出 现 的 任何 问题 都 将 在 本 信息 之 后 可 能 出 现 的 “安全 警告 ” 
DERRE, 加 昌 存 在 问题 ， 和 您 话 该 认为 邮件 已 被 章 改 ， 或 并 非 来 自 所 谓 


ERAD ~ x 
Pie 妆 收 到 一 圭 加 窗 邮 件 时 ， 您 应 认可 以 自信 地 认为 邮件 未 被 任何 第 三 者 
Xl. Outlook Express 会 自动 对 电子 邮件 解 窗 ， 如 呆 在 您 的 计算 机 上 装 有 
正确 的 数字 标识 。 
DO 不 再 显示 此 半 助 屏 若 。 
继续 | z 
ED EE E | 


图 4.69 收取 数字 签名 和 加 密 邮件 


AE 
zB AO BKD EOD | 
$ å V R | m F g Hom. 
E RR DERE 地 址 E: 
EC x 
加 oook Express — a] BA Microsoft Outlook Exp 欢迎 合用 Outlook Express 6. 
ER 本 地 文件 天 
ET d 
QD EH 
已 发 送 邮件 
S camus ERA vates AR RS 
d» m sil 主题 : test r- 
EAO T X|| This is a test letter. 
dw ha 
we honean B 
EOE | 加 下 在 联机 工作 (a EA 


图 4.70 查看 加 密 与 签名 邮件 


(10) 在 收 到 具有 数字 签名 的 邮件 后 .可 以 看 到 ,在 邮件 窗口 的 右边 中 间 有 一 个 “数字 签 
名 ”图 标 , 单 击 它 可 以 看 到 相关 的 数字 证 书信 息 .如 图 4. 71 和 图 4. 72 Bron 
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Ee è ë 


c Deme 安全 | 
EFEZ 

数字 签名 方 : zi@dhu. ein. cn. ox 
REA: 是 "P 

TRENES: z Sposa , 以 查看 用 于 答 轩 此 
请 求 返 回 安全 回执 * x 

BARFE: * mE 

Lor [PERESA E SERES .szseTmeA — amuzos. 

E BEANIA 
安全 标签。 HRUE: E 


pon SP ed BAIRO. 


l 


R2 eai LM ILI p 在 通讯 济 中 保 EET IET IA] 
AET... 
CD wa | | | 


图 4.71 查看 数字 签名 信息 图 4.72 查看 证 书信 息 


6. 实验 报告 与 要 求 


在 Outlook 中 用 另 一 用 户 或 实验 教师 的 公 钥 给 对 方 发 送 一 封 带 签名 和 加 密 的 邮件 , 同 
时 将 自己 的 公 钥 放 在 附件 中 。 


7. 实验 分 析 与 讨论 


数字 证 书 的 生命 周期 包含 申请 、 使 用 \ 查 询 . 吊 销 等 过 程 , 本 实验 仅 涉及 申请 、 安 装 和 使 
用 ,用 户 可 以 结合 PKI 的 基本 构成 和 主要 职能 自行 尝试 CA 中 心 所 提供 的 其 他 数字 证 书 服 
务 功能 。 另 外 ,用 户 可 以 考虑 除 个 人 电子 邮件 证 书 外 ,还 有 了 哪些 类 型 的 数字 证 书 ,应 该 如 何 
安装 和 使 用 。 


8. 注意 事项 


COD 选择 邮箱 的 签名 和 加 密 证 书 时 ,如 果 单 击 “ 选 择 ” 按 钮 .没有 相关 的 数字 证 书 弹 出 ， 
请 确认 您 的 证 书 已 经 正确 安装 且 没 有 过 期 。 同 时 还 要 确认 您 在 Outlook Express 中 所 设置 
的 邮箱 与 您 在 申请 数字 证 书 时 所 提供 的 邮箱 是 一 致 的 。 查 看 在 申请 数字 证 书 时 所 使 用 的 邮 
箱 方法 是 ,在 Internet Explorer 中 ,选择 “工具 ”|“Internet 选项 ”1“ 内 容 ”1“ 证 书 ” 命 令 , 选 中 
数字 证 书后 ,依次 选择 “查看 ”|* 详 细 信 息 ”|* 主 题 " 即 可 。 

(2) 为 联系 人 添加 数字 证 书 时 , 收 信 地 址 需要 与 联系 人 证 书 中 的 邮件 地 址 相同 。 

(3) 发 送 加 密 邮 件 的 方法 与 发 送 签名 邮件 的 方法 类 似 , 也 可 以 对 即将 发 送 的 同一 封 邮 
件 既 签名 又 加 密 ,两 种 方式 可 以 同时 使 用 。 

(4) 在 Outlook 中 发 送 邮 件 时 ,应 注意 电子 邮件 服务 器 设置 的 正确 性 ,以 保证 邮件 可 以 
顺利 发 出 。 

(5) 不 同 CA 中 心 的 证 书 申 请 流程 和 方法 会 有 一 些 差 异 , 而 基本 的 流程 是 相似 的 , 通 
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常 需要 用 户 填写 个 人 基本 信息 ,然后 需要 安装 根 证 书 链 , 最 后 获取 个 人 数字 证 书 并 进行 
安装 。 


4.2.4 PGP 软件 使 用 


1 实验 目的 

Tft PGP 软件 的 基本 功能 ,掌握 软件 使 用 方法 。 
2. 实验 原理 

本 实验 选用 PGP 软件 的 免费 版 本 PGP6. 5. 3。 

3. 实验 环境 

实验 者 两 两 结合 形成 小 组 ,合作 完成 密 钥 的 使 用 。 
4. 实验 内 容 


(D PGP 软件 安装 ; 

(2) PGP 密 钥 对 管理 ; 

(3) 使 用 PGP 密 钥 对 加 解密 ; 

(4) 使 用 PGP 对 信息 进行 签名 和 认证 ; 
(5) PGP 加 密 、 签 名 电子 邮件 ; 

(6) 利用 PGP 进行 磁盘 和 文件 清理 。 


5. 实验 步骤 


1) PGP 软件 安装 
(1) 双击 pgp 6. 5. 3-Setup. exe, 按 照 默认 提示 进行 安装 ,如 图 4.73 一 图 4.75 所 示 。 


Welcome xj 


Welcome to the PGP Setup program. This progrem. 
wl install PGP or your computer. 


Itis strongly recommended Ihat you exil al Windows programs 
before running this Setup program. 


和 
lex tc coniinus vath the Selup program. 


"WARNING: This program is protected by copyright lew and 
3e iss 


Inauthorzed mee 
pon ee he ee md 
wl be proseculed to 


DE) e 


图 4.73 安装 PGP 软件 


Select Components xj 


Select the components you want to install, clear the components 
you do nat want to install. 


Components 
E 
PGP Qualcomm Eudora Plugin OK f 
PGP Microsoft Exchange/Oulook Flugin 128K | 
PGP Microsoft Outlook E «press Plugin 124K | 
PGP Command Line. sk | 
zl 
Desciplion 


This component includes Ihe core PGP | 
jn E 


Space Required 10783K 
Space Available: 3088748K 


<Back Mex» Cancel 
图 4.74 设置 关联 程序 


Setup has finished copying fles to your computer 
Before you can ure the program you musi reboot your system. 


图 4.75 完成 PGP 安装 


In order for other people lo send you secure messages, you must 
generate a key pair. 


Your key pai will also be used io «ign digtal documents. 


A eov po coni ol armo Kow" and a Pive keu“ The 
pubiic ke gen to everyone. as 
faciles to asset n A]. The pivare key shouid be kept 
abschutely ceciet 


If you would ike mote infermaton on what a key par is ard how 
P PSP works, click the Heb button, below. 


Otherwise. choose Nest lo continue. 


oom | | 
图 4.76 密 钥 生成 向 导 


应 


(2) 第 一 次 安装 完成 后 ,依照 提示 生成 自己 的 密 钥 对 ,如 图 4. 76 一 图 4. 81 所 示 。 
xj 
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Key Generation Wizard 3 ES 


What name ard email address should be associated with this key 
pair? 


By isting your name ard amail address here, you let your 
corespondente know that the key they are usng belong to you. 


Full name: 


一 


Emal address: 
ET 


< H-E e [T—5 a 5] xm | a» | 


图 4.77 生成 新 的 密 钥 


Key Generation Wizard xj 


What type of key would you ike to generate? If you dort knew, 
ini se yp det DA Aan DES kay 
pair. 


RSA is the "old-style" PGP key. Most new users of PGP wil be 
expecting a Dilfie-Hellman/DSS key. 


I you'd lice more information on the dřierences between Ihe two 
key types. press the Help butan, below. 


图 4.78 设置 密 钥 生 成 算法 


ET 
You can set your key pai to automatically expre within a certain. 
amount of time. 


When your key pair expires, you wil no longer be able to use il for 
encrypting or saring. However, t wil stil decwpt and verify. 


Once you generate jour key pait. you wil not be able to change 
ite expiration setting 


Key Expiration 
C Reypa 
IP C Keyparespreson. [320012 4. 7] 


图 4.79 设置 密 钥 有 效 期 


Your private key will be protected by a pessohrase. Itis important 
that jou do ret write this passphrase down. 


Your passphtase shouid be at least B characters long and should 
contan norralphabetic characters. 


Passphiase: F Hide Tone 
E| 
z 

PssspheseQusiy: maman 

Corfirmalion: 

| E: 
zi 


si-sfo[r-505] xw ELJ 
图 4.80 设置 密 钥 口令 
xj 


Congietiolionsl Yau have just generated a PGP key pei 


You wil row be able to receive secure messages and sign 
le. 


Ifyou wish to send lo the server at a later date, sir 
Ri sk onn Pre adus i Sere eren 


Ciok Finish below lc add your new key to your kaying 


ix-so[omg ] xw | ww» | 
图 4. 81 完成 密 钥 生成 


2) PGP 密 钥 对 管理 
CD 在 “程序 ”1“ 启 动 ”选项 中 选中 pgptray 命令 加 载 PGP 程序 。 


(2) 单 击 桌面 右 下 角 锁 形 图 标 ,选择 PGPkeys 选项 ,进入 密 钥 管理 界面 ,查看 密 钥 列 


表 , 如 图 4.82 所 示 。 
;zinixi 


Ele Ed: yew Keys Sever Groups Hep 
MILES 45330721 


2048/1024 — DHiDs5 pub key 
2048/1024 — DHDSS publ key 
2048/1024 Expired DH/DSS pt 
2048/1024 — DHDSS public key 
3072/1024 
2048/1024 


O Phlp R, Zinmermann cprzippop. om> 

OP Rafael Jerez <RJeez@naicom> 

DB Sath Zadeh «szísdehépap.com» 

m Scott 3. Wison cseilsondinei com» 

I Sean Tran «Sean. _tran@nai.con> 

O Sonny D. Luu <sluugpnai. com> 

3989 Vue V. Vang <vrangBnaicomy 

=% hongqin -hawein06gsina.— 
Ee] wei hangan «aweitDéigsina rom> 

x2 wei hongain «haveiDD6isina.c... 
加 Wil Price <wpriceipgp com» 


© eMcooocco|: 


E a4coofio24 


(1keyis) selected Į z 


图 4. 82 查看 密 钥 列表 


应 


系统 安全 
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(3) 选择 Keys| New Key 或 相应 图 标 ,创建 多 个 新 密 钥 对 ,如 图 4. 83 所 示 。 


d 
Ele Edt Vew Keys Sever Goups Help 


Ani xi 


c|x«wiot 9H 


4096/1024 
E 2048/1024 
E 3072/1024 
E 2059/1024 
E 2040/1024 
J 2048/1024 
E 2048/1024 
r 2048/1024 
E 2048/1024 


3:9 Bil Blanke cwibGpop.com» - 
Dm Chanda Groom «canda croomipnai.c... 
因 @ Damon Galety <donlDpgp com> 

B Jason Bobiar <jason@pgp com» 

Hm Katherine Massuca Pettk <hmpgpgp.，， 
OP Harc Dyksterhouse «marcdgpon.con» 
EO park J. McArde <markmgpop.com> 

3 UP Michael K. Jones «mjonesinai.com» 

H Myles Monroe <mmonroe®nai com> 

加 多 Network Associates PGP Software Rel... 


'OOCOOCOOOOO 


图 4.83 创建 密 钥 对 


(D 选中 密 钥 , 右 击 ,选择 Revoke 或 在 菜单 中 选择 Keys | Revoke, 废 除 该 密 钥 对 ,如 


图 4. 84 所 示 。 


T PGPK 
Ele Ed: Vew Keys Sever Groups Help 


9x WO TS iu i 
[keydRevoko tro seloctodtem] Tvay | mrut [seo [oeccnpson “| 


EOF Arn Campi <acanplgnalcon> ] 2048/1024 
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HP Damon Gallsty <dgakDpap.com> 3072/1024 
E Jason Bobier <jacon@pgp com> q J 2059/1024 
Hm Katherine Massucd Pettit <kmpgpgp. 2048/1024 


aloz 


SE hul cihugdhu.e 

Aa Vbi dhugdhueduo> 
IO Mare Dykstorhouse <maredapon.com> 2048/1024 
Oo Mark J. Mearde <markmgpgp,com> 


[1 keyis) selected 


图 4.84 废除 密 钥 


(5) 选中 密 钥 , 右 击 .选择 Share Split 或 在 菜单 中 选择 Keys| Share Split ,按照 提示 选择 
分 量 个 数 和 存储 位 置 , 将 该 密 钥 对 拆 分 成 几 个 分 量 ,分 别 保存 ,如 图 4. 85 和 图 4. 86 所 示 o 


2048/1024 
Br 2048/102 


E 2048/1024 
EC 2048/1024 


4.85 拆 分 密 钥 (1) 
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Split Key : li hui <lihui@dhu.edu en aixi 
Spit Kep: [Ehu ciat edi eny 


r Shareholders- 


To add shareholders, ciag their keys to this window, or click 
Add to add auser wihout a kev. 


| Bewe | EEE] Tota Shwes: BOO 


Total Shares Required to Decypt or Sign: |2 三 


Spit Key Croa | He | 


图 4.86 拆 分 密 钥 (2 


(6) 选中 密 钥 , 右 击 ,选择 Export 或 在 菜单 中 选择 Keys|Export, 导 出 自己 的 一 把 PGP 
公 钥 ,与 小 组 内 另 一 实验 用 户 交 换 , 并 用 Import 命令 把 对 方 公 钥 导入 自己 的 PGPkeys 中 ， 
如 图 4. 87 一 图 4. 89 所 示 o 
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图 4.87 选择 密 钥 进行 导出 
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图 4.88 导出 密 钥 
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EET 
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My QQ Fies Ciresearch Cl Thunder 
[mv videos security ORAH 
到 
文件 [mm Ls» | 
RREI T. [ASCII Key File (+. asc) - mh 


T^ Include Private Keys] 
T^ Include & 0 Extensions 


图 4. 89 保存 密 钥 到 文件 


3) 使 用 PGP 密 钥 对 加 解密 

COD 在 桌面 右 下 角 图 标 PGPtray| Current Windows 中 选择 相应 命令 ,使 用 PGP 对 某 
打开 的 文本 中 部 分 信息 进行 加 密 ( 加 密 时 选用 实验 对 方 的 公 钥 ), 如 图 4. 90 和 图 4. 91 
所 示 。 


Rs PGPtray - Key Selection Dialog A xi 


Size 
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T^ Conventional Encryption. 


图 4. 90 选择 加 密 密 钥 


(2) 实验 对 方 对 收 到 的 加 密 信息 ,用 同样 方法 对 其 解密 读 取 ( 用 自己 的 私 钥 )。 

(3) 选中 某 文件 或 文件 夹 后 ,右键 选择 PGP 菜单 中 的 命令 Encrypt, 对 该 文件 夹 或 文件 
进行 加 密 , 加 密 时 选用 实验 配合 方 的 公 钥 。 

(4) 实验 对 方 用 同样 方法 选择 Decrypt 命令 对 加 密 内 容 解密 读 取 (用 自己 的 配套 
私 钥 ) 。 

4) 使 用 PGP 对 信息 进行 签名 和 认证 

CD 对 信息 .文件 或 文件 夹 右键 选择 PGP 莱 单 中 的 Encrypt & Sign 进行 签名 后 ,发 给 
实验 配合 方 进行 验证 ,操作 方法 同上 。 
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图 4. 91 对 文本 进行 加 密 


(2) 选中 自己 信任 的 某 同学 的 公 钥 , 单 击 Sign 命令 进行 签名 并 Import 导出 返还 给 对 


方 ,对 方 可 以 得 到 被 第 三 方 信任 签名 的 密 钥 ,如 图 4. 92 所 示 。 


Br o 
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图 4.92 对 密 钥 进行 签名 


5) 实验 小 组 双方 PGP 加 密 、 签 名 电子 邮件 

CD 打开 邮件 服务 软件 ,撰写 新 邮件 .选中 邮件 主题 部 分 , 单 击 PGP 工具 中 的 Encrypt 
gn 命令 ,对 邮件 进行 加 密 和 签名 ,然后 发 送 给 对 方 。 

(2) 对 方 解 密 读 取 收 到 的 邮件 ,并 对 发 信人 身份 进行 认证 ,如 图 4. 93 所 示 。 
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图 4.93 对 邮件 进行 加 密 和 签名 


6) 利用 PGP 进行 磁盘 和 文件 清理 

(1) 选择 桌面 右 下 角 PGP 图 标 中 PGPtools fi iq 
4 ,打开 工具 面板 ,如 图 4. 94 所 示 。 

(2) 单 击 Wipe 图 标 ,选择 需要 清除 的 文件 ,如 图 4.94 PGP 工 具 面 板 
图 4. 95 所 示 。 
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4.95 清除 文件 
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(3) 单 击 Free Space Wipe 图 标 选择 需要 清除 信息 的 磁盘 ,如 图 4.96 一 图 4. 98 所 示 。 
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图 4.96 清除 磁盘 信息 
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图 4.97 设置 清除 磁盘 参数 


图 4.98 执行 磁盘 信息 清除 
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6. 实验 报告 与 要 求 


将 另 一 实验 用 户 或 实验 教师 公 钥 导入 自己 的 PGP 系统 ,在 Outlook 中 用 该 公 钥 给 对 方 
发 送 一 封 带 签 名 和 加 密 的 邮件 ,同时 将 自己 的 公 钥 放 在 附件 中 。 


7. 实验 分 析 与 讨论 


请 用 户 考虑 利用 PGP 进行 电子 邮件 加 密 时 ,保护 的 是 什么 内 容 , 发 信人 和 收 信人 的 地 
址 信息 是 否 可 以 被 加 密 ,为 了 实现 更 为 全 面 的 电子 邮件 安全 ,可 以 采取 什么 方法 。 


8. 注意 事项 


COD 为 使 PGP 工具 可 以 内 嵌入 Outlook 程序 ,安装 时 需要 选中 相应 的 支持 组 件 。 

(2) PGP 成 功 安装 并 重启 后 ,桌面 右 下 角 会 出 现 一 个 锁 形 的 PGP 图 标 ; 如 果 没 有 重 
启 , 则 可 以 在 “程序 ”1“ 启 动 ” 项 中 加 载 PGPtray。 

(3) 进行 密 钥 导出 时 ,不 选中 Include Private Key 就 可 以 仅 导 出 公 钥 ; 对 于 导出 的 密 
钥 ,要 在 另 一 系统 中 使 用 时 ,可 以 用 Import 命令 导入 。 

(4) 拆 分 密 钥 可 以 在 不 同 地 点 进行 密 钥 分 量 的 保管 , 密 钥 被 拆 分 后 ,以 后 每 次 使 用 前 都 
需要 首先 将 各 分 量 组 合 起 来 ,因此 拆 分 密 钥 会 增加 使 用 的 复杂 性 ,但 会 提高 密 钥 的 安全 性 。 

(5) 实验 时 ,邮件 发 送 可 以 在 Outlook 中 或 其 他 邮件 网 站 上 进行 ,对 邮件 正文 部 分 签名 
并 加 密 后 发 出 。 如 果 对 方 没 有 自己 的 公 钥 ,需要 作为 附件 发 出 。 

(6) 加 密 信息 时 ,发送 方 需要 选择 接受 方 的 公 钥 ,签名 信息 时 , 则 需要 选用 自己 的 私 钥 ; 
解密 信息 时 ,接受 方 需要 选用 自己 的 私 钥 , 验 证 签名 信息 时 , 则 需要 选用 发 送 方 的 公 

(7) PGP 中 的 Wipe 功能 可 以 更 加 彻底 地 清除 磁盘 文件 信息 ,防止 数据 恢复 工具 获取 
已 删除 的 有 用 信息 。 进 行 磁盘 清除 时 ,选择 的 清除 次 数 越 高 ,数据 清除 安全 性 越 好 ,但 需要 
的 操作 时 间 会 越 长 。 


4.2.5 数据 库 安全 


1. 实验 目的 
了 解 和 人 掌握 SQL Server 2000 的 安全 配置 方法 。 
2. 实验 原理 


Microsoft 公司 的 SQL Server 2000 是 一 种 广泛 使 用 的 数据 库 , 相 对 信息 安全 的 其 他 领 
域 ,数据 库 安 全 经 常会 被 用 户 甚至 系统 管理 员 忽 视 。 数 据 库 系统 中 存在 的 安全 漏洞 和 不 当 
的 配置 通常 会 造成 严重 的 后 果 ,而 且 较 难 被 发 现 。SQL Server 是 一 种 端口 型 数据 库 , 任 何 
人 都 可 以 通过 分 析 工 具 连 接 到 数据 库 上 ,从 而 绕 过 操作 系统 的 安全 机 制 , 进 而 奖 入 系统 , 破 
坏 、 窃 取 数据 资料 。SQL Server 2000 作为 通过 美国 政府 C2 级 安全 认证 的 系统 ,已 经 具备 
较 高 的 安全 机 制 。 通 过 恰当 的 安全 配置 .可 以 更 好 发 挥 SQL Server 的 安全 性 。 


3. 实验 环境 


运行 Windows 2000 Server 主机 一 台 .安装 SQL Server 2000 软件 。 
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4. 实验 内 容 


(1) 安装 SQL Server 2000 最 新 的 补丁 程序 ,进行 安全 性 升级 ; 
(2) 基于 SQL Server 2000 内 部 安全 机 制 进行 相关 设置 。 


5. 实验 步骤 


(1) 获取 SQL Server 2000 最 新 补丁 程序 SQL Server 2000 Service Pack4(SP4) 进 行 升 
级 ,如 图 4.99 所 示 。 


2| - InstallShield Wizard [xj 
保存 文件 的 位 置 
您 要 将 文件 保存 到 哪里 ? \ 
请 输入 要 保存 文件 的 文件 夹 。 如 果 访 文件 夹 不 存在 ，InstalShield AFARIREN 
K. BR MPE TE. 
将 文件 保 行 到 文件 买 (8) ; 
[satzksp4 
Instalhied 
<FBE) | T-TQ0- Wih 


图 4.99 升级 SQL Server 程序 


(2) 在 SQL Server 企业 管理 器 中 选择 一 个 服务 器 , 单 击 右键 选择 “属性 ”, 在 弹出 的 对 
话 框 中 选择 "安全 性 "选项 卡 ,设置 SQL mpg cap gr d 
Server 2000 身份 验证 为 “ 仅 Windows" & Ati. BASE | RAUERDE | Fe | Activo Directory | 
证 模式 ,如 图 4. 100 所 示 。 | 

(3) 在 企业 管理 器 中 展开 一 个 服务 器 , 选 E E a T 
择 “ 安 全 性 ”中 的 “登录 ”图 标 ,双击 sa, 在 弹出 身份 验证 
的 对 话 框 中 为 sa 设置 一 个 强壮 的 口令 ,如 NEUES Eos i 
图 4. 101— F8 4. 103 所 示 。 : 

COD 展开 一 个 服务 器 组 ,打开 其 属性 对 话 
框 ,选中 审核 级 别 中 的 “失败 " 单 选 按钮 ,对 SQL 
Server 的 连接 进行 审核 ,如 图 4. 104 所 示 。 


6. 实验 报告 与 要 求 


根据 上 面 介 绍 的 各 项 实验 要 求 ,详细 观察 
记录 SQL Server 2000 安全 设置 前 后 的 变化 ， 
给 出 分 析 报 告 。 


图 4.100 设置 身份 认证 方式 
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图 4.101 为 sa 设置 口令 
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图 4.104 设置 审核 方式 


7. 实验 分 析 与 讨论 


为 了 提高 数据 库 的 网 络 安全 性 ,可 以 配置 系统 防火 墙 过 滤 针 对 SQL Server 相应 端口 的 
外 来 数据 包 。 用 户 可 以 自行 确定 SQL Server 2000 相应 端口 并 进行 设置 。 另 外 ,微软 的 安 
全 基准 分 析 器 MBSA 可 以 对 SQL Server 2000 中 的 不 安全 设置 进行 扫描 ,用 户 可 以 尝试 用 
该 工具 对 已 配置 的 SQL Server 2000 的 安全 性 进行 评估 。 


8. 注意 事项 

(D) SQL Server 2000 中 大 多 数 安全 设置 都 需要 系统 重启 后 才能 生效 。 

(2) 数据 库 系统 管理 员 需 要 经 常 查看 数据 库 事 件 日 志 记 录 , 及 时 发 现 问 题 进行 解决 ,日 
志文 件 最 好 存放 到 一 个 不 同 于 数据 文件 存放 的 硬盘 中 。 


对 安全 技术 和 产品 的 选择 运用 ,只 是 信息 安全 实践 活动 中 的 一 部 分 。 信 息 安 全 更 广泛 
的 内 容 , 还 包括 制定 完备 的 安全 策略 ,通过 风险 评估 来 确定 需求 ,根据 需求 选择 安全 技术 和 
策略 ,并 按照 既定 的 安全 策略 和 流程 规范 来 实施 、 维 护 和 审查 安全 控制 措施 。 管 理 在 信息 保 
障 中 的 作用 越 来 越 得 到 重视 ,计算 机 信息 安全 对 策 包含 三 个 方面 : 安全 立法 ,行政 管理 和 安 
全 技术 ,其 中 前 两 项 属于 管理 的 范畴 。 


5.1.1 计算 机 信息 安全 立法 与 行政 管理 


关于 计算 机 犯罪 ,各 国 的 法 律 都 有 自己 的 定义 。 在 中 国 的 相关 法 律 中 提出 ,所谓 计算 机 
犯罪 指 与 计算 机 相关 的 危害 社会 并 应 加 以 处 罚 的 行为 。 计 算 机 犯罪 具体 表现 有 : 装 入 欺骗 
性 数据 ,未 经 批准 使 用 资源 .窜改 窃取 信息 盗窃 与 诈骗 电子 财物 和 破坏 计算 机 资产 等 。 

计算 机 犯罪 具有 收益 高 .时 效 快 .风险 低 、 无 痕迹 、 无 国界 地 界 . 危 害 大 等 特点 ,20 世纪 
80 年 代 以 来 成 为 各 国 日 益 严 重 的 社会 问题 。 各 国 针对 该 问题 都 进行 了 系列 相关 法 律 法 规 
的 建设 工作 。 我 国 已 有 的 计算 机 信息 安全 法 律 法 规 有 :《 中 华人 民 共和 国 计 算 机 信息 系统 
安全 保护 条 例 》《 中 华人 民 共 和 国保 守 国 家 秘密 法 》《 计 算 机 软件 保护 条 例 》《 中 华人 民 共 
和 国 计 算 机 网 络 国际 互联 网 管理 暂行 规定 及 实施 办 法 》《 中 国 公众 媒体 通信 管理 办 法 》《 计 
算 机 病毒 控制 条 例 》《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 检查 办 法 》 和 《中 华人 民 共 和 国 
计算 机 信息 系统 安全 申报 注册 管理 办 法 ) 等 。 

计算 机 安全 行政 管理 包括 人 员 的 教育 与 培训 和 健全 机 构 岗 位 设置 及 规章 制度 。 通 常 的 
信息 安全 规章 制度 有 : 

CD 岗位 责任 制 : 制定 各 类 人 员 的 岗位 责任 制 , 特 别 强调 严格 纪律 、 严 格 管理 .严格 分 
工 的 原则 ,不 准 串 岗 ,严禁 程序 设计 师 同 时 担任 系统 操作 员 ,严格 禁止 系统 管理 员 终端 操作 
员 和 系统 设计 员 混 岗 。 专 职 安全 管理 人 员 负 责 本 系统 区 域内 安全 策略 的 实现 ,保证 安全 策 
略 的 长 期 有 效 ,负责 软 硬 件 的 安装 维护 .日常 操作 监视 .应急 条 件 下 安全 措施 的 恢复 和 风险 
分 析 等 。 安 全 审计 人 员 监 视 系统 运行 情况 ,收集 对 系统 资源 的 各 种 非法 访问 事件 ,并 对 非法 
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事件 进行 记录 、 分 析 和 处 理 , 必 要 时 将 审计 事件 上 报 主 管 部 门 。 保 安 人 员 负 责 非 技 术 性 常规 
安全 工作 。 

(2) 运行 管理 维护 制度 : 包括 设备 管理 维护 制度 软件 维护 制度 ,用 户 管理 制度 、 密 钥 管理 
制度 、 出 入 门卫 管理 值班 制度 、 各 种 操作 规程 各 种 行政 领导 部 门 的 定期 检查 及 监督 制度 等 。 

CD 计算 机 处 理 控制 管理 制度 : 包括 数据 处 理 流 程 的 编制 和 控制 、 程 序 软件 和 数据 的 
管理 .拷贝 移植 和 存储 介质 的 管理 ,文件 档案 日 志 的 标准 化 ` 通 讯 网 络 系统 的 管理 。 

(4) 文档 资料 管理 制度 : 非 计算 机 的 各 种 凭证 .单据 \ 帐 短 、 报 表 和 文字 资料 ,要 妥善 保 
管 和 严格 控制 。 记 帐 必须 交叉 复核 。 各 类 人 员 所 人 掌握 的 资料 要 与 其 身份 匹配 ,如 终端 操作 
员 只 能 阅读 终端 操作 规程 .手册 ,只 有 系统 管理 员 才 能 使 用 系统 手册 。 


5.1.2 信息 系统 安全 标准 


信息 系统 的 安全 标准 可 以 规范 系统 的 建设 和 使 用 ,规范 人 们 的 安全 防范 行为 ,使 人 们 的 
信息 安全 意识 提高 到 必要 的 水 平 。 因 此 ,信息 系统 的 安全 标准 是 实现 安全 信息 系统 极为 重 
要 的 环节 。 发 达 国 家 在 系统 安全 标准 方面 的 研究 工作 起 步 相对 较 早 。 

美国 国防 部 在 1983 年 制定 了 可 信 计 算 机 系统 评价 准则 (CTCSEC) , 它 将 计算 机 系统 的 
安全 功能 和 可 信任 度 综合 在 一 起 考虑 ,为 计算 机 安全 产品 的 评测 提供 了 测试 方法 。TCSEC 
进行 系统 安全 等 级 评估 的 依据 有 以 下 几 种 。 

(1) 安全 策略 : 必须 有 一 个 明确 的 、 确 定 的 由 系统 实施 的 安全 策略 ; 

(2) 识别 : 必须 唯一 而 可 靠 地 识别 每 个 主题 ,以 便 检 查 主体 /客体 的 访问 请 求 ; 

(3) 标记 : 给 每 个 客体 一 个 标号 ,并 指明 该 客体 的 安全 级 别 ; 

(4) 可 检查 性 : 系统 对 影响 安全 的 活动 必须 维持 完全 而 且 安 全 的 记录 ; 

(5) 保障 措施 : 系统 含 实施 安全 性 的 机 制 并 能 评价 其 有 效 性 

(6) 连续 的 保护 : 实现 安全 性 的 机 制 必须 受到 保护 以 防止 未 经 批准 的 改变 。 

TCSEC 将 安全 分 为 如 下 7 个 级 别 。 

(D D: 最 小 保护 。 没 有 访问 限制 .DOS、Windows 3. x/95 等 系统 采用 该 安全 级 别 。 

(2) C1 级: 自主 存 取 控制 。 具 有 一 定 的 硬件 安全 级 ,用 户 需 要 认证 .但 不 能 控制 用 户 级 
别 , 如 早期 的 UNIX. 

(3) C2 级 : 可 控 访问 保护 。 进 一 步 访问 权限 控制 ,身份 验证 级 别 ,广泛 的 审核 跟踪 ,如 
UNIX, Windows NT, 

(4) BIR: 标记 安全 保护 。 对 每 个 对 象 都 实施 保护 .支持 多 级 安全 ,强制 存 取 控制 , 适 
用 于 政府 机 构 和 防御 系统 。 

(5) B2 级 : 结构 化 保护 。 所 有 对 象 均 加 标签 ,给 设备 分 配 安全 级 别 ,使 较 高 安全 级 别 可 
与 较 低 安全 级 别 系 统 通信 ,取消 特权 用 户 。 

(6) B3 级 : 安全 域 。 要求 用 户 通过 一 条 可 信任 途径 连接 到 系统 上 ,硬件 保护 系统 的 数 
据 存 储 区 ,区 分 系统 管理 员 、 系 统 操作 员 和 系统 安全 员 的 职责 。 具 有 高 抗 渗透 能 力 , 即 使 系 
统 骨 溃 也 不 会 泄密 。 

CD Al 级 : 验证 设计 。 附 加 一 个 安全 系统 的 受 监 视 设 计 , 所 有 系统 部 件 来 源 有 安全 保 
证 ,规定 安全 系统 运送 .安装 的 程序 。 
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计算 机 信息 安全 管理 实验 教程 


1989 年 ,国际 标准 化 组 织 ISO 在 信息 系统 安全 体系 结构 标准 ISO 7498-2 中 描述 了 开 
放 互 连 OSI 安全 体系 结构 的 5 种 安全 服务 项 目 : 

d 鉴别 ; 

。 访问 控制 ; 

。 数据 保密 ; 

。 数据 完整 ; 

。 pis. 

为 了 实现 以 上 功能 ,ISO 7498-2 提出 了 8 种 标准 安全 机 制 : 

。 加 密 机 制 ; 
数字 签名 机 制 ; 
访问 控制 机 制 ; 
数据 完整 性 机 制 ; 
鉴别 交换 机 制 ; 
通信 业务 填充 机 制 ; 

路 由 控制 机 制 ; 

。 公证 机 制 。 

其 他 的 安全 标准 还 有 英 、 法 、 荷 、 德 四 国 于 20 世纪 90 年 代 提 出 的 欧洲 信息 技术 安全 评 
价 准则 ITSEC、 加 拿 大 1993 制定 的 CTCPEC 评价 标准 和 美国 1993 年 提出 的 联邦 准则 FC 
等 。 我 国 于 1994 年 ,由 国务 院 发 布 了 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 规 
定 计算 机 实行 安全 等 级 保护 。1995 年 ,又 分 别 出 台 了 《信息 处 理 系 统 开 放 互 联 基本 参考 模 
型 第 2 部 分 安全 体系 结构 》《 信 息 处 理 数据 加 密实 体 鉴别 机 制 第 I 部 分 : 一 般 模 型 》《 信 息 
技术 设备 的 安全 ) 等 。1999 年 公安 部 制定 了 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》, 并 
于 2001 年 1 月 1 日 起 实施 ,该 准则 中 提出 5 个 计算 机 安全 保护 级 别 : 

。 用 户 自主 保护 级 ; 

。 系统 审计 保护 级 ; 

。 安全 标记 保护 级 ; 

。 结构 化 保护 级 ; 

。 访问 验证 保护 级 。 


5.1.3 信息 系统 安全 审计 


信息 系统 安全 审计 是 以 信息 系统 安全 体系 、 策 略 、 人 和 流程 等 为 对 象 的 深入 细致 的 检 
查 ,目的 是 为 了 找 出 信息 系统 安全 体系 中 薄弱 环节 并 给 出 相应 的 解决 方案 。 

安全 审计 的 基本 内 容 分 为 两 步 。 首 先 ,检查 实际 工作 是 不 是 按照 现 有 规章 制度 进行 。 
其 次 ,对 审计 步骤 进行 调整 和 编排 ,更 好 地 判断 出 安全 事件 的 发 生地 点 或 来 源 。 审 计 工 作 本 
身 也 需要 保护 。 需 要 进行 审计 的 事件 主要 包括 : 系统 登录 活动 ,文件 读 写 活动 .改变 系统 或 
网 络 优先 级 的 活动 。 需 要 进行 审计 的 对 象 包括 敏感 数据 数据 的 保密 区 域 以 及 各 种 资源 等 。 
有 些 对 象 需要 专门 的 审计 ,而 且 有 些 数据 可 能 非常 重要 .针对 它们 的 每 一 次 访问 都 必须 记录 
下 来 ,包括 事件 的 类 型 或 者 名 称 、 事 件 发 生 的 日 期 和 时 间 、 事 件 成 功 与 否 有 关 的 程序 名 称 或 
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文件 名 等 。 企 图 绕 过 系统 保护 机 制 和 系统 审计 监控 功能 的 攻击 尝试 随时 都 会 发 生 , 为 了 更 
有 效 地 检测 ,发 现 和 挫败 来 自 内 外 两 方面 的 这 类 企图 ,审计 过 程 应 该 对 与 安全 有 关 的 事件 进 
行 合 理 的 编排 。 审 计 流 程 需要 做 到 以 下 几 点 : 

CD 对 系统 用 户 来 说 是 透明 的 ; 

(2) 支持 各 种 审计 软件 ; 

(3) 在 调整 和 编排 有 关 审 计 事 件 时 应 是 完备 的 和 精确 的 ; 

(4) 应 保证 与 审计 工作 有 关 的 文件 的 安全 性 。 

安全 审计 工作 主要 分 两 大 类 : 一 种 是 单位 自行 完成 的 内 部 审计 , 另 一 种 是 由 外 部 专业 
公司 或 人 员 完 成 的 外 部 审计 。 内 部 审计 的 主要 目的 是 检查 内 部 各 部 门 对 安全 制度 的 遵守 情 
况 ,可 以 由 一 个 比较 正规 的 内 部 审计 组 织 来 完成 ,也 可 以 不 那么 正规 。 由 第 三 方 完成 的 审计 
都 非常 正规 和 深入 。 

由 审计 方 负责 的 工作 包括 制定 和 实施 审计 或 评估 工作 的 流程 、 选 择 需要 审计 的 事件 、 对 
审计 记录 进行 复查 ,维护 和 保护 审计 数据 、 定 期 复查 审计 参数 等 。 需 要 进行 审计 的 事件 主要 
包括 敏感 数据 、 数 据 的 保密 区 域 以 及 各 种 资源 等 等 。 信 息 系统 安全 审计 工作 首先 需要 制定 
出 审计 计划 ,其 次 需要 选择 相关 的 审计 工具 ,如 相关 技术 文档 安全 审计 软件 ,测试 程序 等 ， 
此 外 ,还 需要 根据 审计 结论 给 出 相应 的 改进 措施 。 

对 于 被 审计 方 来 说 ,首先 需要 全 力 配合 安全 审计 人 员 对 网 络 的 安全 措施 进行 测试 。 审 
计 工 作 中 所 发 现 的 一 些 严重 的 问题 可 能 不 在 自己 的 控制 范围 内 而 出 在 外 包 的 工作 部 分 , 因 
此 最 好 在 审计 工作 开始 之 前 提前 通知 供应 商 ,让 他 们 参加 到 与 他 们 提供 的 服务 有 关 的 分 析 
讨论 中 来 。 在 与 安全 审计 机 构 签约 时 ,需要 考虑 以 下 因素 : 

(1) 一 定 要 在 合同 里 加 上 保密 条 款 , 约 束 对 方 不 得 泄露 有 关 信息 。 另 外 ,合同 里 必须 写 
明 进 行 本 次 评估 的 公司 对 它 提 交 的 报告 不 得 保有 任何 权利 ; 

(20 要 求 安 全 审计 机 构 先 提供 它 准备 派遣 的 审计 师 的 个 人 简历 ,以 对 他 们 的 技术 和 经 
验 有 一 个 了 解 ,挑选 优秀 的 审计 师 来 进行 审计 ; 

(3) 在 合同 里 加 上 知识 转移 条 款 , 保 证 本 单位 员工 能 够 研究 和 学 习 审计 师 所 使 用 的 方 
法 和 流程 。 

一 份 完整 的 安全 审计 大 纲 应 该 包括 : 安全 措施 的 管理 、 安 全 策略 和 制度 、 相 关 的 标准 和 
流程 .技术 性 安全 措施 、 对 安全 措施 的 评估 、 文 档 、 事 故 响应 、 对 安全 措施 进行 测试 .物理 防护 
措施 、 个 人 因素 、 法 律 方面 的 考虑 、 安 全 意识 、 培 训 和 教育 \ 企 业 组 织 结构 方面 的 因素 等 。 


5.1.4 信息 系统 安全 体系 的 设计 


计算 机 安全 问题 是 伴随 着 计算 机 的 发 展 而 产生 的 , 随 着 计算 机 应 用 模式 由 主机 终端 方 
式 发 展 到 目前 的 互联 网 阶段 ,安全 问题 变 得 越 来 越 复 杂 和 重要 。 计 算 机 系统 中 的 安全 威胁 
来 源 于 各 种 自然 灾害 等 不 可 抗拒 因素 、 外 部 的 各 种 恶意 攻击 、 系 统 本身 的 安全 缺陷 各 种 应 
用 软件 漏洞 等 。 因 此 ,广义 计算 机 信息 安全 包括 信息 设备 的 物理 安全 性 、 场 地 环境 保护 、 物 
理 硬件 安全 、 病 毒 . 通 讯 设备 的 信息 安全 、 网 络 安全 等 。 

计算 机 信息 系统 的 安全 需求 有 以 下 几 方面 。 

CD 保密 性 : 信息 不 被 泄露 给 非 授权 的 用 户 、 实 体 或 过 程 ,包括 物理 保密 和 信息 加 密 ; 
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(2) 真实 性 : 身份 的 可 鉴别 性 ,不 可 假冒 ; 

G) 完整 性 : 信息 未 经 授权 不 能 进行 改变 的 特性 ,面向 信息 s 

(4) 可 靠 性 : 系统 能 够 在 规定 条 件 和 规定 的 时 间 内 完成 规定 的 功能 的 特性 ,包括 稳定 
性 、 抗 毁 性 、 生 存 性 和 有 效 性 等 方面 ; 

O) 服务 可 用 性 : 信息 和 服务 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 ,该 特性 是 面向 
用 户 的 ; 

(6) 不 可 否认 性 : 信息 交互 过 程 中 ,确认 参与 者 的 真实 同一 性 ; 

CD) 可 控 性 : 对 (网 络 ) 信 息 的 传播 及 内 容 具 有 控制 能 力 的 特性 。 

为 了 满足 以 上 安全 需求 ,通常 采用 的 计算 机 信息 安全 对 策 包 括 三 个 方面 : 安全 立法 、 行 
政 管理 ,技术 措施 。 在 制定 安全 对 策 时 ,通常 需要 遵守 以 下 原则 : 

”综合 平衡 代价 原则 

。 整体 综合 分 析 与 分 级 授权 原则 
方便 用 户 原 则 
灵活 适应 性 原则 
可 评估 性 原则 

计算 机 信息 安全 具有 以 下 四 大 特性 : 

(1) 计算 机 安全 是 一 个 系统 概念 ,不 仅仅 是 技术 问题 ,更 重要 的 是 管理 问题 ,还 与 社会 
道德 ,行业 管理 及 人 们 的 行为 模式 紧密 联系 。 

(2) 计算 机 安全 是 相对 的 ,不 存在 永远 攻 不 破 的 安全 系统 。 

(3) 计算 机 安全 是 有 代价 的 ,进行 计算 机 安全 方案 的 制订 是 安全 成 本 和 速度 的 权衡 。 

(4) 计算 机 安全 是 发 展 的 \ 动 态 的 ,网 络 的 攻 与 防 此 消 彼 长 ,安全 技术 具有 强 竞争 性 和 
对 抗 性 ,必须 不 断 评估 调整 ,安全 是 一 个 过 程 而 非 终点 。 

因此 ,信息 安全 的 建设 是 一 个 系统 工程 , 它 需要 对 信息 系统 的 各 个 环节 进行 统一 的 综合 考 
虑 、 规 划 和 构架 .并 时 时 兼顾 组 织 内 外 不 断 发 生 的 变化 ,任何 环节 上 的 安全 缺陷 都 会 对 系统 构 
成 威胁 。 正 确 的 做 法 是 遵循 国内 外 相关 信息 安全 标准 与 最 佳 实践 过 程 ,考虑 对 信息 安全 的 各 
个 层面 独特 需求 ,在 风险 分 析 的 基础 上 引入 恰当 控制 ,建立 合理 的 安全 管理 体系 ; 另 一 方面 ， 
这 个 安全 体系 还 应 当 随 着 环境 的 变化 .业务 的 发 展 和 信息 技术 的 提高 而 不 断 改 进 , 不 能 一 劳 永 
逸 ,一 成 不 变 。 信 息 安 全 的 实现 是 一 个 需要 完整 的 技术 和 管理 体系 来 保证 的 连续 过 程 。 


5.2 实验 项 目 


5.2.1 信息 系统 安全 审计 


1. 实验 目的 

了 解 信 息 系统 安全 审计 的 主要 作用 和 基本 流程 ,掌握 制订 安全 审计 计划 的 方法 。 

2. 实验 原理 

进行 安全 审计 工作 之 前 首先 需要 设计 一 个 审计 计划 ,不同 的 系统 有 不 同 的 应 用 环境 和 
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内 部 结构 ,因此 ,具体 的 审计 过 程 和 内 容 也 是 不 一 样 的 。 制 订 审 计 计划 时 ,需要 详细 分 析 系 
统 构成 和 应 用 单位 需求 ,通常 审计 计划 中 应 包括 安全 策略 ,制度 、 相 关 标 准 和 流程 ,安全 技术 措 
施文 档 管理 ,事故 响应 个 人 因素 法律 因素 .安全 意识 .培训 和 教育 等 方面 。 审 计 方 可 以 根据 
计划 来 搜集 充分 的 相关 数据 ,并 选择 恰当 的 审计 工具 ,为 审计 工作 的 开展 做 好 前 期 准备 。 


3. 实验 环境 
目标 信息 系统 的 调研 环境 。 
4. 实验 内 容 


(1) 调研 获取 某 目标 信息 系统 的 基本 情况 ,分 析 其 安全 需求 ; 
(2) 针对 目标 信息 系统 制订 出 安全 审计 计划 ; 
(3) 针对 可 能 审计 出 的 安全 问题 ,给 出 相应 的 解决 措施 。 


5. 实验 步骤 


CD 通过 资料 查阅 和 调研 获得 目标 审计 信息 系统 的 基本 结构 和 应 用 背景 ,确定 该 系统 
的 安全 需求 ; 

(2) 制订 安全 制度 和 标准 的 审计 计划 ,具体 内 容 包 括 : 信息 安全 策略 和 规章 制度 、 信 息 
的 分 类 和 价值 评估 、 数 据 的 保密 性 ,数据 的 完整 性 数据 的 重要 性 、 数 据 的 可 审计 性 、 系 统管 
理 机 构 的 特权 管理 .信息 的 访问 控制 措施 ,安全 事件 的 上 报 程序 、 突 发 事件 响应 计划 .员工 信 
息 不 泄露 条 款 等 ; 

CD 制订 物理 安全 审计 计划 ,包括 机 房管 理 、 网 络 设施 管理 文档 管理 等 ; 

(4) 制订 网 络 安全 审计 计划 ,包括 密 钥 管理 .日 志 管理 ` 网 络 用 户 管理 ,防火墙 管理 、 其 
他 网 络 安全 工具 管理 等 ; 

(5) 制订 应 用 软件 安全 审计 计划 ,包括 软件 资源 管理 .软件 权限 管理 等 ; 

(6) 制订 备份 审计 和 突 发 事件 审计 计划 ; 

CT) 分 析 可 能 出 现 的 重要 安全 问题 ; 

(8) 针对 可 能 出 现 的 问题 给 出 相应 解决 方案 。 


6. 实验 报告 与 要 求 


根据 上 面 介绍 的 各 项 实验 要 求 ,制订 目标 系统 的 审计 计划 ,针对 可 能 发 现 的 问题 ,给 出 
相应 的 解决 措施 ,撰写 实验 分 析 报 告 。 


7. 实验 分 析 与 讨论 


在 实现 以 上 制订 出 的 审计 计划 时 ,需要 用 到 哪些 辅助 审计 工具 ,尝试 了 解 这 些 审 计 工具 
的 使 用 方法 。 


8. 注意 事项 


CD 内 部 审计 可 以 由 一 个 比较 正规 的 内 部 审计 组 织 来 完成 .也 可 以 不 那么 正规 。 审 计 
工作 的 伸缩 性 很 大 ,简单 的 可 以 只 检查 一 下 系统 日 志 , 复 杂 的 则 可 以 对 人 员 、 策 略 、 制 度 流 程 
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等 所 有 方面 进行 细致 的 审查 ,用 户 可 以 根据 需要 进行 选择 ; 
(2) 本 实验 提供 的 安全 审计 步骤 仅 包含 主要 方面 ,用 户 可 以 根据 系统 具体 需求 增 减 部 
分 内 容 来 完成 审计 计划 的 制订 。 


5.2.2 日 常 操 作 安全 规程 制订 


1. 实验 目的 
了 解 安全 管理 制度 的 重要 性 ,掌握 日 常 操 作 安全 规程 的 制订 方法 。 
2. 实验 原理 


信息 系统 日 常 操作 安全 规程 是 安全 管理 制度 的 一 部 分 ,对 信息 系统 的 日 常 使 用 人 员 、 权 
限 方法 等 进行 详细 规定 ,并 明确 职责 。 使 信息 系统 的 安全 策略 和 制度 可 以 得 到 真实 的 贯彻 
执行 ,是 信息 系统 安全 的 重要 保障 。 制 定 日 常 操作 安全 规程 时 ,主要 基于 多 人 负责 、 任 期 有 
BR .职责 分 离 等 原则 。 


3. 实验 环境 
目标 信息 系统 的 调研 环境 。 
4. 实验 内 容 


(1) 制订 计算 机 上 机 管理 制度 ; 
(2) 制订 用 户 帐户 管理 制度 ; 

(3) 制订 信息 保护 管理 制度 ; 

(4) 制订 远程 访问 管理 制度 ; 

(5) 制订 特殊 访问 权限 管理 制度 。 


5. 实验 步骤 


(1) 以 小 组 为 单位 确定 目标 信息 系统 ,并 对 系统 基本 情况 和 操作 人 员 构 成 进行 调研 ; 
(2) 确定 信息 系统 的 安全 需求 ; 

(3) 确定 系统 相关 人 员 的 构成 类 型 ; 

(4) 确定 主要 系统 资源 和 主要 日 常 业务 流程 和 操作 ; 

(5) 明确 各 类 人 员 对 资源 的 操作 权限 、 方 法 ; 

(6) 结合 业务 和 相关 人 员 制 订 具 体 的 操作 规程 ; 

CD 制订 相应 的 规程 执行 情况 审计 方法 ,并 明确 各 人 员 职 责 ; 

(8) 制订 操作 规程 的 管理 方法 和 管理 人 员 职 责 ; 

(9) 制订 用 户 帐户 的 管理 方法 。 


6. 实验 报告 与 要 求 
根据 上 面 介绍 的 各 项 实验 要 求 . 制 订 目标 系统 的 日 常 操 作 安全 规程 ,撰写 实验 报告 。 
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7. 实验 分 析 与 讨论 


日 常 操作 安全 规程 如 何 与 系统 的 安全 需求 和 安全 策略 相 一 致 ,制订 操作 规程 时 ,如 何 体 
现 多 人 负责 .任期 有 限 、 职 责 分 离 等 原则 。 


8. 注意 事项 


(1) 信息 系统 的 相关 人 员 通 常 包 括 员工 .普通 管理 人 员 、 系 统管 理 员 、 系 统 安全 管理 员 、 
内 部 审计 人 员 、 应 用 软件 开发 人 员 、 计 算 机 操作 员 、 网 络 管理 员 ,技术 支持 人 员 以 及 其 他 人 员 
等 ,不 同系 统 会 有 不 同 的 岗位 设置 ; 

(2) 操作 安全 规程 可 以 把 通常 以 制度 流程 或 合同 方式 规定 的 人 员 安 全 责任 进一步 明 
确 和 具体 化 。 


5.2.3 应 急 响应 方案 制订 


1. 实验 目的 


了 解 预先 制订 应 急 响 应 方案 的 必要 性 ,掌握 针对 目标 系统 进行 分 析 和 制订 应 急 响 应 方 
案 的 方法 。 


2. 实验 原理 


应 急 响应 通常 指 人 们 为 了 应 对 各 种 紧急 事件 的 发 生 所 做 的 准备 以 及 在 事件 发 生 后 所 采 
取 的 措施 。 无 论 信息 系统 的 运行 环境 多 么 安全 ,被 攻击 的 风险 依然 存在 。 在 遭受 攻击 后 才 
对 安全 事件 作出 反应 要 比 及 时 作出 反应 的 代价 高 出 很 多 ,因此 系统 的 安全 策略 中 必须 包含 
有 关 单 位 如 何 响应 不 同类 型 攻击 和 紧急 情况 的 详细 说 明 。 昌 然 对 事件 的 响应 中 多 数 操作 由 
应 急 小 组 执行 ,但 各 级 IT 人 员 应 该 知道 如 何在 内 部 报告 安全 事件 。 应 急 响 应 方案 可 以 使 
信息 环境 中 的 所 有 成 员 知道 在 发 生 事件 时 应 做 什么 。 


3. 实验 环境 
目标 系统 的 调研 环境 。 
4. 实验 内 容 


(1) 确定 应 急 响 应 角色 的 责任 ; 
(2) 制订 紧急 事件 提交 策略 ; 
G) 规定 应 急 响 应 优先 级 ; 

(4) 安全 事件 的 调查 与 评估 方法 ; 
(5) 制订 应 急 响应 相关 补救 措施 ; 
(6) 确定 应 急 紧 急 通 知 机 制 。 


5. 实验 步骤 


(1) 调研 目标 系统 基本 情况 ; 
(2) 对 系统 可 能 遭受 的 安全 风险 进行 分 类 并 确定 响应 优先 级 ; 
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(3) 确定 安全 事件 中 可 能 涉及 的 人 员 ; 

(4) 制订 安全 事件 的 检测 和 通报 机 制 ; 

(5) 制订 安全 事件 的 初步 评估 方法 ,确定 破坏 的 类 型 和 严重 程度 ; 
(6) 制订 对 危害 抑制 的 策略 和 措施 ,控制 损失 ,将 风险 降低 到 最 小 ; 
CD 制订 彻底 清除 危害 源 的 流程 ; 

(8) 制订 系统 恢复 计划 ; 

(9) 制订 对 外 部 机 构 的 事件 通知 流程 ; 

(10) 制订 事件 记录 方法 及 总 结 整理 事件 记录 的 流程 。 


6. 实验 报告 与 要 求 
根据 上 面 介绍 的 各 项 实验 要 求 , 制 订 目标 系统 的 应 急 响 应 计划 ,给 出 实验 报告 。 
7. 实验 分 析 与 讨论 


了 解 事件 响应 关键 技术 除 人 侵 检 测 技术 和 系统 备份 与 灾难 恢复 技术 外 ,还 有 哪些 ,分 别 
可 以 应 用 于 什么 阶段 。 国 内 外 目前 已 经 建立 了 众多 的 应 急 响 应 组 织 , 对 他 们 的 基本 作用 和 
发 展 情况 进行 了 解 。 


8. 注意 事项 
(1) 应 急 响 应 中 的 角色 主要 包括 用 户 、 安 全 管理 员 、 安 全 审计 员 、 信 息 发 布 部 门 ,管理 


(2) 制订 应 急 响应 计划 时 ,应 注意 保护 事件 的 相关 证 据 。 
5.2.4 个 人 用 户 计 算 机 系统 安全 方案 设计 


1. 实验 目的 


了 解 个 人 计算 机 系统 存在 的 安全 风险 ,制订 相应 的 安全 策略 ,并 部 署 完整 的 安全 解决 
方案 。 


2. 实验 原理 


个 人 计算 机 系统 主要 是 为 了 满足 用 户 在 工作 、 学 习 和 生活 上 的 需要 ,其 安全 需求 和 安全 
策略 的 制订 都 和 企业 级 系统 有 较 大 的 不 同 。 了 解 并 掌握 个 人 计算 机 的 安全 保障 方法 对 于 综 
合 运 用 计算 机 信息 安全 知识 和 实现 组 织 信 息 安 全 都 有 很 好 的 帮助 。 


3. 实验 环境 

不 同 配 置 的 个 人 用 户 计算 机 一 台 。 

4. 实验 内 容 

COD 分 析 个 人 电脑 可 能 面临 的 安全 风险 ; 


(2) 制订 个 人 计算 机 系统 安全 策略 ; 
CD 制订 全 面 完整 的 个 人 计算 机 系统 安全 解决 方案 并 进行 部 署 。 


5. 实验 步骤 


(1) 分 析 个 人 计算 机 系统 的 主要 功能 需求 和 基本 结构 ; 

(2) 分 析 个 人 计算 机 面临 的 安全 风险 类 型 ; 

(3) 制订 个 人 计算 机 基本 安全 策略 ; 

(4) 制订 计算 机 病毒 软件 等 常用 防护 工具 的 部 署 ,使 用 和 维护 计划 ; 
(5) 制订 关键 资源 和 数据 的 保护 方法 ; 

(6) 制订 个 人 数据 的 备份 计划 ; 

(7) 制订 帐户 日 常 管理 方法 ; 

(8) 制订 个 人 计算 机 的 日 常 操作 安全 规程 ; 

(9) 进行 概要 的 安全 方案 成 本 核算 ,分 析 方 案 的 经 济 可 行 性 ; 

(10) 根据 以 上 方案 对 目标 计算 机 进行 安全 部 署 。 


6. 实验 报告 与 要 求 


针对 个 人 计算 机 用 户 使 用 需求 制订 一 份 安全 解决 方案 ,并 在 个 人 计算 机 上 实施 ,比较 并 
分 析 方 案 实施 前 后 系统 的 不 同 ,撰写 相应 的 实验 报告 。 


7. 实验 分 析 与 讨论 


请 用 户 思考 个 人 计算 机 的 安全 方案 与 企业 级 信息 系统 的 安全 方案 的 不 同体 现 哪些 地 
方 。 针 对 已 部 署 好 的 安全 方案 ,选择 常见 的 探测 和 攻击 工具 检测 系统 的 安全 性 。 


8. 注意 事项 
用 户 可 以 针对 自己 日 常 使 用 的 PC 进行 本 实验 的 安全 方案 制订 。 


5.2.5 电子 政务 网 站 整体 信息 安全 解决 方案 设计 


1. 实验 目的 


了 解 电子 政务 网 站 系统 的 结构 ,分 析 电 子 政务 网 站 的 安全 需求 ,制订 适当 的 安全 策略 ， 
针对 特定 应 用 背景 提出 一 套 整体 的 安全 解决 方案 。 


2. 实验 原理 


电子 政务 是 政府 在 其 管理 和 服务 职能 中 运用 现代 信息 和 通信 技术 来 实现 政府 组 织 结构 
和 工作 流程 的 重组 优化 的 一 种 新 型 机 制 , 可 以 超越 时 间 、 空 间 和 部 分 分 隔 的 制约 ,全 方位 地 
向 社会 提供 优质 ,规范 .透明 的 服务 ,是 政府 管理 理念 和 管理 手段 的 变革 。 电 子 政务 系统 主 
要 包括 两 大 部 分 : 内 部 政务 办 公 系 统 和 对 外 服务 部 分 .后 者 即 电子 政务 网 站 系统 。 

电子 政务 网 站 系统 的 安全 风险 有 : 非法 用 户 通过 公共 网 络 进 入 内 部 网 内 各 级 局 域 网 系 
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统 , 以 获取 资源 或 支配 资源 ; 算 改 向 社会 公布 的 政务 信息 以 制造 混乱 ; 插入 和 修改 传输 中 的 数 
据 ; 窃听 和 截获 传输 数据 ; 假冒 管理 者 和 信息 主体 发 布 虚假 信息 。 因 此 ,在 电子 政务 系统 与 
Internet 连接 部 分 ,存在 的 安全 需求 有 : 完整 性 保护 、 源 鉴别 服务 、 用 户 鉴 别 和 访问 控制 等 。 


3. 实验 环境 
目标 电子 政务 系统 的 调研 环境 。 
4. 实验 内 容 


(1) 确定 目标 行政 管理 机 构 所 采用 的 信息 系统 的 安全 需求 ; 
(2) 确定 目标 电子 政务 网 站 的 安全 策略 ; 
(3) 进行 安全 解决 方案 设计 。 


5. 实验 步骤 


COD 了 解 目标 行政 管理 机 构 的 基本 情况 和 信息 系统 结构 
(2) 确定 目标 电子 政务 网 站 的 安全 需求 ; 

(3) 制订 网 站 系统 的 基本 安全 策略 ; 

(4) 分 析 网 站 系统 的 信任 链 结构 ,确定 信任 服务 体系 结构 ; 
(5) 基于 业务 分 析 确 定 所 需 采 用 的 信任 保障 技术 ; 

(6) 确定 基于 身份 认证 的 用 户 权限 管理 机 制 ; 

(7) 网 络 安全 工具 的 配置 方案 ; 

(8) 网 络 硬 件 设 施 管理 方法 ; 

(9) 确定 数据 库 安全 保障 机 制 。 


6. 实验 报告 与 要 求 
针对 目标 电子 政务 网 站 制订 一 份 安全 解决 方案 .撰写 相应 的 实验 报告 。 
7. 实验 分 析 与 讨论 


请 用 户 思考 电子 政务 信息 系统 与 其 他 系统 相 比 较 在 软 硬 件 平台 和 安全 技术 采用 方面 有 
哪些 特殊 需求 。 


8. 注意 事项 


COD 为 便于 用 户 对 整个 系统 的 把 握 , 建 议 选 择 小 型 行政 管理 机 构 进行 安全 方案 设计 ; 
(2) 信任 体系 是 电子 政务 系统 安全 机 制 的 核心 部 分 ,实验 中 应 重点 对 CA 体系 的 设计 
进行 思考 。 


5.2.6 电子 商务 网 站 整体 信息 安全 解决 方案 设计 


1. 实验 目的 
了 解 电子 商务 网 站 系统 的 结构 .分 析 电 子 商 务 网 站 的 安全 需求 ,制订 适当 的 安全 策略 ， 
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针对 特定 应 用 提出 一 套 整体 的 网 络 安全 解决 方案 。 


需求 


2. 实验 原理 


电子 商务 网 站 系统 提供 了 一 个 参与 商业 活动 的 个 人 、 公 司 、 商 业 集团 等 之 间 的 交易 和 结 
算 平台 。 在 电子 商务 活动 中 存在 的 安全 风险 有 : 非法 用 户 通 过 网 络 进入 系统 ; 窃取 或 修改 
数据 进行 电子 犯罪 ; 与 系统 人 员 勾 结 、 联 合 进 行 诈骗 ; 假冒 他 人 行 骗 ; 窃 用 信用 卡 或 购物 
Es 算 改 商务 信息 、 制 造 混乱 ; 抵赖 已 发 生 的 交易 或 交易 的 内 容 。 针 对 以 上 风险 ,电子 商务 
网 站 有 完整 性 保护 、 源 鉴别 服务 .数字 签名 ,. 抗 抵赖 服务 .身份 鉴别 .访问 控制 和 加 密 等 安全 


3. 实验 环境 

目标 电子 商务 网 站 的 调研 环境 。 

4. 实验 内 容 

(1) 确定 目标 电子 商务 企业 所 采用 的 网 站 系统 的 安全 需求 ; 


(2) 确定 目标 电子 商务 网 站 的 安全 策略 ; 
CD 进行 安全 解决 方案 设计 。 


5. 实验 步骤 


(1) 了 解 目标 电子 商务 企业 的 基本 业务 情况 .运营 方式 和 网 站 结构 ; 

(2) 评估 网 站 系统 的 资产 和 安全 风险 ,确定 目标 电子 商务 网 站 系统 的 安全 需求 ; 
(3) 制订 网 站 系统 的 基本 安全 策略 ; 

(4) 选择 系统 采用 的 安全 交易 协议 ,并 确定 基于 该 协议 的 业务 实现 过 程 ; 

(5) 制订 基于 PKI 的 交易 各 方 身 份 认证 方法 ,确定 信任 服务 体系 结构 ; 

(6) 基于 业务 分 析 确 定 所 需 采 用 的 信任 保障 技术 ; 

(7) 确定 用 户 权 限 管理 机 制 ; 

(8) 网 络 服 务 器 安全 工具 的 配置 方案 ; 

CO) 网 络 通信 硬件 设施 管理 方法 ; 

(10) 确定 商业 数据 安全 性 保障 机 制 。 


6. 实验 报告 与 要 求 

针对 目标 电子 商务 网 站 制订 一 份 安全 解决 方案 .撰写 相应 的 实验 报告 。 

7. 实验 分 析 与 讨论 

了 解 国内 外 各 大 电子 商务 网 站 采用 的 具体 安全 解决 方案 ,并 进行 比较 分 析 。 
8. 注意 事项 


(1) 用 户 可 以 利用 硬件 和 软件 的 元 余 技 术 来 保障 电子 商务 网 站 的 服务 可 用 性 和 数据 安 


全 性 ; 
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COD 对 于 电子 商务 系统 , 密 钥 的 管理 非常 重要 。 构 建 基于 PKI 的 信息 体系 时 ,可 以 选择 
可 信 的 政府 部 门 和 法 律 执行 部 门 作为 合法 的 第 三 方 密 钥 托管 机 构 。 


5.2.7 企业 内 部 信息 系统 信息 安全 方案 设计 


1. 实验 目的 


了 解 目标 企业 目前 所 采用 的 信息 系统 安全 方案 ,掌握 部 署 安全 方案 的 方法 ,根据 网 络 环 
境 的 不 同 以 及 用 户 提出 的 不 同 需求 ,提出 一 套 整 体 安 全 解决 方案 。 


2. 实验 原理 


随 着 国内 计算 机 和 网 络 技术 的 迅猛 发 展 和 广泛 应 用 ,各 企业 都 已 构建 了 满足 自身 业务 
需要 的 信息 系统 ,重要 的 业务 数据 大 都 以 电子 形式 存储 于 系统 数据 库 中 ,企业 的 运营 越 来 越 
依赖 于 统 的 支持 。 企 业 信息 系统 通常 包含 内 部 系统 和 外 部 网 络 系统 两 部 分 。 两 者 之 
间 可 以 通过 一 定 的 网 络 安全 技术 进行 隔离 。 对 于 企业 来 讲 , 重 要 的 信息 资源 往往 集中 于 内 
部 信息 系统 中 ,因此 针对 内 部 网 络 进行 安全 方案 设计 和 部 署 尤 为 重要 。 


3. 实验 环境 
目标 企业 的 背景 信息 调研 环境 。 


4. 实验 内 容 


COD 确定 目标 企业 内 部 信息 系统 的 安全 需求 ; 
(2) 确定 目标 企业 的 安全 策略 ; 
(3) 基于 目标 企业 现 有 安全 措施 进行 安全 解决 方案 设计 。 


5. 实验 步骤 


COD 了 解 目标 企业 的 基本 业务 情况 和 内 部 信息 系统 结构 ; 

(2) 确定 信息 系统 的 安全 需求 ; 

(3) 制订 系统 的 基本 安全 策略 ; 

(4) 制订 相关 安全 制度 和 规程 ; 

(5) 确定 用 户 权限 管理 机 制 ; 

(6) 制订 计算 机 病毒 软件 等 常用 防护 工具 的 部 署 、 使 用 和 维护 计划 ; 
CD) 制订 关键 资源 和 数据 的 保护 方法 ; 

(8) 制订 重要 数据 的 备份 计划 ; 

(9) 制订 应 急 响应 计划 ; 

(10) 制订 硬件 设施 管理 维护 机 制 。 


6. 实验 报告 与 要 求 
针对 目标 企业 制订 一 份 完整 安全 解决 方案 .撰写 相应 的 实验 报告 。 
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7. 实验 分 析 与 讨论 
了 解 部 分 企业 的 现 有 安全 方案 ,比较 分 析 他 们 的 优 缺 点 。 


8. 注意 事项 
CD 对 企业 内 部 信息 系统 安全 方案 设计 时 ,可 以 对 网 络 安全 部 分 进行 简化 ,重要 考虑 企 
业内 部 人 员 和 资源 的 管理 ; 


(2) 用 户 也 可 以 选择 某 虚 拟 企业 为 对 象 进行 安 全 方案 设计 ,设计 之 前 首先 需要 明确 企 
业 的 业务 内 容 。 
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